?在當(dāng)前數(shù)字化環(huán)境中，IT的一個(gè)里程碑式增長便是公司組織和企業(yè)數(shù)字化。為了擴(kuò)大市場(chǎng)范圍和方便業(yè)務(wù)，許多組織都在轉(zhuǎn)向互聯(lián)網(wǎng)。這導(dǎo)致了一股新的商業(yè)浪潮，它創(chuàng)造了網(wǎng)絡(luò)空間中的商業(yè)環(huán)境。通過這種方式，公司和客戶的官方或機(jī)密文件都可以上傳到互聯(lián)網(wǎng)上，方便用戶隨時(shí)訪問。

通常情況下，網(wǎng)站會(huì)受到保護(hù)而免遭黑客攻擊，但保存、保護(hù)機(jī)密文件和知識(shí)產(chǎn)權(quán)仍需要強(qiáng)大的安全保障。這種安全保障是為了抵御來自黑客的網(wǎng)絡(luò)攻擊或網(wǎng)暴。在這種情況下，Web滲透測(cè)試是安全專業(yè)人員用來防止此類網(wǎng)絡(luò)入侵的最佳工具之一。

1.什么是網(wǎng)絡(luò)滲透測(cè)試？

滲透測(cè)試是針對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行的一種模擬網(wǎng)絡(luò)攻擊，目的是為了尋找可能被利用的漏洞。這是一項(xiàng)自我評(píng)估測(cè)試，用于評(píng)估計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中可被利用的漏洞。

網(wǎng)絡(luò)滲透測(cè)試是一種網(wǎng)絡(luò)評(píng)估工具，被網(wǎng)絡(luò)安全專業(yè)人員用來評(píng)估現(xiàn)有網(wǎng)絡(luò)安全工具的完整性和有效性。這是一項(xiàng)對(duì)現(xiàn)有網(wǎng)絡(luò)安全實(shí)施構(gòu)成威脅的風(fēng)險(xiǎn)因素所進(jìn)行的詳細(xì)安全評(píng)估。通過對(duì)公司的數(shù)字資源和網(wǎng)絡(luò)進(jìn)行分析和掃描，網(wǎng)絡(luò)滲透測(cè)試能夠檢測(cè)出任何存在的漏洞。一旦發(fā)現(xiàn)漏洞，就會(huì)對(duì)其進(jìn)行檢查，以確定黑客是否可以通過滲透測(cè)試?yán)眠@些漏洞。

Web滲透測(cè)試針對(duì)的是基于Web的客戶端應(yīng)用程序，它涵蓋了當(dāng)今企業(yè)組織使用的大多數(shù)應(yīng)用程序。由于Web應(yīng)用程序的廣泛使用，Web滲透測(cè)試是任何網(wǎng)絡(luò)安全解決方案的關(guān)鍵組成部分。這是因?yàn)檫@些基于網(wǎng)絡(luò)的應(yīng)用程序可以讓黑客訪問個(gè)人身份信息（PII）—知識(shí)產(chǎn)權(quán)、受保護(hù)的健康信息，以及不想被訪問的保密網(wǎng)絡(luò)和資源。這使得對(duì)基于網(wǎng)絡(luò)的客戶應(yīng)用程序受到攻擊的威脅變得非常嚴(yán)重。

由于基于Web的應(yīng)用程序越來越容易受到外部攻擊，所以經(jīng)常對(duì)網(wǎng)絡(luò)安全的實(shí)施進(jìn)行評(píng)估非常重要。組織如何對(duì)一次成功滲透做出的反應(yīng)，可以發(fā)現(xiàn)運(yùn)營層面和組織架構(gòu)層面上的缺陷，而這些缺陷在受到攻擊前就能得到修復(fù)。

2.網(wǎng)絡(luò)滲透測(cè)試基礎(chǔ)

Web滲透測(cè)試的方法和工具有很多種。網(wǎng)絡(luò)安全專家偶爾會(huì)在沙箱環(huán)境中的服務(wù)器上使用黑客隨手可用的間諜軟件。有時(shí)，專家可能會(huì)對(duì)當(dāng)前活躍系統(tǒng)進(jìn)行滲透測(cè)試，以評(píng)估其普遍存在的弱點(diǎn)。由于可以使用的方法范圍廣泛，所以很難簡(jiǎn)化Web滲透測(cè)試的流程。以下是三種類型的網(wǎng)絡(luò)滲透：

（1）黑盒測(cè)試

這種滲透測(cè)試發(fā)生在網(wǎng)絡(luò)安全專家和測(cè)試人員對(duì)目標(biāo)事先不了解的情況下。在滲透測(cè)試過程中，測(cè)試人員要了解目標(biāo)，評(píng)估系統(tǒng)和應(yīng)用程序，找出缺陷并嘗試?yán)眠@些缺陷。這種黑盒測(cè)試的優(yōu)勢(shì)在于能夠精確模擬網(wǎng)絡(luò)攻擊過程。測(cè)試人員必須像一個(gè)不懷好意的參與者那樣與目標(biāo)戰(zhàn)斗，并透露重要信息。黑盒滲透測(cè)試有一個(gè)缺點(diǎn)，那就是需要花費(fèi)大量的時(shí)間和精力。黑盒測(cè)試比其他測(cè)試范圍更廣，但它的缺點(diǎn)是耗時(shí)費(fèi)力。

（2）白盒測(cè)試

在白盒測(cè)試中，專家事先了解公司的網(wǎng)絡(luò)狀況和弱點(diǎn)。與黑盒測(cè)試相比，白盒測(cè)試更為常見，用于檢查特定的缺陷所帶來的風(fēng)險(xiǎn)。白盒測(cè)試不像黑盒測(cè)試那樣費(fèi)勁，因?yàn)闇y(cè)試人員被授權(quán)訪問目標(biāo)系統(tǒng)的可用信息。白盒測(cè)試的一個(gè)優(yōu)勢(shì)是它們能夠集中并能準(zhǔn)確地檢測(cè)出漏洞。

（3）灰盒測(cè)試

就如黑白組合會(huì)產(chǎn)生灰色一樣，灰盒測(cè)試結(jié)合了黑盒和白盒測(cè)試。這里，滲透專家通常對(duì)目標(biāo)有一些了解，但沒有獲得白盒測(cè)試那樣詳細(xì)的信息。在滲透測(cè)試開始之前，公司可能會(huì)提供基本的信息，這些信息通常也可以被黑客獲得。每種測(cè)試方法針對(duì)的是基于客戶和安全審核員的不同功能，相比較而言，黑盒測(cè)試是模擬真實(shí)的黑客攻擊，它可以提供有關(guān)公司漏洞如何在外部被評(píng)估和利用的重要信息；白盒測(cè)試非常徹底，可以用來滲透測(cè)試所有客戶端的Web程序。

3.網(wǎng)絡(luò)滲透測(cè)試方法

正如滲透測(cè)試的方式不同，為評(píng)估系統(tǒng)而部署這些測(cè)試的方法也不同。這就是為什么確定所有人使用的通用滲透測(cè)試方法具有挑戰(zhàn)性。相反，一般的Web滲透方法可以描述部署Web滲透測(cè)試的步驟。

這些方法包括偵查、掃描、漏洞評(píng)估、漏洞評(píng)估和訪問、維護(hù)與報(bào)告。

（1）偵查

網(wǎng)絡(luò)滲透測(cè)試一般是以偵查為起點(diǎn)，在偵查過程中，測(cè)試人員對(duì)目標(biāo)了解地越多越好。這包括公司運(yùn)營、系統(tǒng)和組織結(jié)構(gòu)的詳細(xì)情況。具體而言，需要收集網(wǎng)絡(luò)拓?fù)?、用戶帳戶、操作系統(tǒng)和應(yīng)用程序等信息以及其他相關(guān)數(shù)據(jù)。這些信息可以對(duì)潛在攻擊途徑提供預(yù)見性洞察。

在網(wǎng)絡(luò)滲透測(cè)試類型（如白盒滲透測(cè)試）中，偵查可能受到限制甚至完全忽略，通常在部署時(shí)充分了解目標(biāo)和與所有與測(cè)試本身有關(guān)的數(shù)據(jù)。在黑盒滲透測(cè)試中，偵查階段通常比較繁瑣和耗時(shí)，因?yàn)樗赡苄枰罅康男畔⑹占椒?，包括社?huì)工程學(xué)。

偵查可以采用主動(dòng)偵查或被動(dòng)偵查。如果是通過對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊而收集到的信息，這類信息普通公眾無法獲得，則是主動(dòng)偵查；如果收集到的信息是對(duì)公眾已經(jīng)公開過的，則為被動(dòng)偵查。

（2）掃描

掃描階段是獲取目標(biāo)系統(tǒng)信息后的下一步。掃描過程包括檢查目標(biāo)是否存在漏洞。使用不同的工具和策略，實(shí)現(xiàn)這一點(diǎn)方法很多。這一階段的目的是識(shí)別任何可能讓測(cè)試人員輕易訪問系統(tǒng)或數(shù)據(jù)的漏洞。

一般情況下，所有開放端口都會(huì)被識(shí)別并檢查，因?yàn)殚_放端口是黑客侵入系統(tǒng)的入口。漏洞掃描還可以作為全面安全評(píng)估的一部分，其目的是一樣的：揭露任何弱點(diǎn)。但在滲透測(cè)試前，它將不會(huì)顯示漏洞造成的威脅。

（3）漏洞評(píng)估

這一階段與掃描階段類似，但會(huì)做更多的工作。在這里，所有偵查和掃描階段收集到的數(shù)據(jù)會(huì)被用來檢測(cè)潛在的漏洞，并檢查黑客是否可以利用這些漏洞。該階段的評(píng)估在與其他滲透測(cè)試階段合并時(shí)尤為重要。

（4）開發(fā)利用

當(dāng)系統(tǒng)中的缺陷被評(píng)估之后，測(cè)試人員會(huì)嘗試通過漏洞訪問系統(tǒng)或者數(shù)據(jù)，這被稱為開發(fā)利用階段。這些漏洞通常是由于沒有足夠的補(bǔ)丁管理或者軟件過時(shí)而導(dǎo)致的，這使得黑客可以無縫訪問敏感系統(tǒng)。通過集中攻擊服務(wù)器漏洞，測(cè)試人員嘗試使用工具訪問互聯(lián)網(wǎng)應(yīng)用或者機(jī)密數(shù)據(jù)，以模擬真實(shí)的攻擊。

利用漏洞是非常微妙的，因?yàn)闀?huì)繞開系統(tǒng)的安保機(jī)制，所以測(cè)試人員必須小心不讓系統(tǒng)受到破壞。這一階段不應(yīng)局限于單一的攻擊策略或方法。由于許多應(yīng)用程序、網(wǎng)絡(luò)和設(shè)備都連接在互聯(lián)網(wǎng)中，所以開發(fā)利用階段采用了許多不同的方法和技術(shù)。

（5）訪問、維護(hù)和報(bào)告

在模擬攻擊漏洞之后，發(fā)布詳細(xì)報(bào)告之前維護(hù)訪問權(quán)限是Web滲透測(cè)試的最后一步。滲透測(cè)試人員可能會(huì)評(píng)估他們是否能夠在一段時(shí)間內(nèi)訪問重要數(shù)據(jù)或系統(tǒng)而不被發(fā)現(xiàn)。在這一階段，測(cè)試人員可以嘗試增加系統(tǒng)的訪問權(quán)限，以便訪問附加的系統(tǒng)或數(shù)據(jù)；這將有助于更廣泛地評(píng)估。本階段提供安全響應(yīng)、訪問控制流程、系統(tǒng)恢復(fù)能力等重要信息。

在完成所有階段之后，測(cè)試人員要撰寫一份記錄滲透測(cè)試過程和結(jié)果的報(bào)告。詳細(xì)報(bào)告包括技術(shù)風(fēng)險(xiǎn)和影響評(píng)估，補(bǔ)救措施和專業(yè)建議。然后用它作為指導(dǎo)來改進(jìn)系統(tǒng)安全體系結(jié)構(gòu)。

4.網(wǎng)絡(luò)滲透測(cè)試的好處

• 防御網(wǎng)絡(luò)攻擊
• 預(yù)防代價(jià)高昂的安全事件
• 遵守法律法規(guī)
• 有助于理解網(wǎng)絡(luò)防御的潛力
• 拿走競(jìng)爭(zhēng)對(duì)手的談判籌碼
• 讓網(wǎng)絡(luò)安全專業(yè)人員了解最新趨勢(shì)和技術(shù)

5.結(jié)論    

對(duì)于依賴于 IT相關(guān)產(chǎn)品和解決方案的許多組織和企業(yè)來說，系統(tǒng)不安全是一個(gè)巨大的隱患。

如果每個(gè)滲透測(cè)試都采用不同的方式，那么它的部署方法盡可能考慮全面。測(cè)試的深度和廣度取決于所想達(dá)成的滲透目的。一般而言，我們的目的就是找出可以利用的漏洞并解決這些漏洞，從而防止網(wǎng)絡(luò)攻擊。

原文鏈接：https://hackernoon.com/the-importance-of-web-penetration-testing

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測(cè)管控負(fù)責(zé)人，主要職責(zé)為嚴(yán)格審核系統(tǒng)上線驗(yàn)收所做的漏掃、滲透測(cè)試以及基線檢查等多項(xiàng)檢測(cè)工作，擁有多年網(wǎng)絡(luò)安全管理經(jīng)驗(yàn)，多年P(guān)HP及Web開發(fā)和防御經(jīng)驗(yàn)，Linux使用及管理經(jīng)驗(yàn)，擁有豐富的代碼審計(jì)、網(wǎng)絡(luò)安全測(cè)試和威脅挖掘經(jīng)驗(yàn)。精通Kali下SQL審計(jì)、SQLMAP自動(dòng)化探測(cè)、XSS審計(jì)、Metasploit審計(jì)、CSRF審計(jì)、webshell審計(jì)、maltego審計(jì)等技術(shù)。?