Web應用程序滲透測試

web應用程序是絕大多數企業的核心因素。它們可用于多種用途,通常用來捕捉、處理、存儲和傳輸敏感數據(商業機密信息、HR數據、財務信息等)。

通過web應用程序訪問的數據的重要程度增加了它們成為攻擊目標的可能性,因此強烈建議定期開展評估。

我們的團隊采用自動和手動測試相結合的綜合法來對外部和內部web應用程序進行評估,先網絡犯罪人員一步識別漏洞。我們的評估服務還包括利用階段,這樣可以讓客戶更直觀地了解每個漏洞將帶來怎樣的風險。

我們的服務由在防御和攻擊方面有著豐富經驗的網絡安全分析師和滲透測試工程師提供。

Web應用程序滲透測試

Web應用滲透測試會測試什么?

注入式攻擊

用戶在執行命令或查詢時向web應用程序提交數據,這時就會發生基于網絡的威脅,比如SQL注入、OS命令注入和LDAP注入。攻擊者的惡意有效負荷會欺騙web應用程序執行計劃外命令或者未經正確授權的情況下訪問數據。

跨站點腳本攻擊(XSS)

若web應用在未經適當驗證和轉義的情況下接受用戶通過網頁提交的數據就可能會引發XSS攻擊。攻擊者可以利用跨站點腳本在用戶瀏覽器上執行腳本,從而劫持用戶會話,破壞網站,或者將用于重新指向惡意站點。

失效的身份驗證

應用的身份驗證和會話管理功能經常配置不當,攻擊者可以借此損壞密碼、秘鑰或會話令牌,或者利用其它漏洞暫時性或永久性假冒其他用戶身份。

敏感信息泄露

許多web應用和應用程序接口(API)無法對敏感數據實施適當保護,比如信用卡號碼、用戶憑證和患者信息。攻擊者可以竊取或修改這種未加強保護的數據,進而開展信用卡詐騙、身份盜用或實施其他犯罪行為。

XML外部實體注入漏洞(XXE)

采用版本較低、配置較低的XML處理器對XML文件內外部實體引用進行評估。外部實體可借助文件URI處理程序、內部文件共享、內部端口掃描、遠程代碼執行和拒絕服務攻擊泄露內部文件。

失效的訪問控制

通常認證用戶權限要求的執行力度不足。攻擊者利用這些漏洞訪問未授權功能及/或數據,比如訪問其他用戶賬號,查看敏感文件,修改其他用戶的數據,更改訪問權限等。

安全配置錯誤

這個問題的常見原因包括不安全的默認配置、不完整或臨時性配置、開放式云存儲、HTTP頭字段錯配及含有敏感信息的詳細錯誤信息。除了安全配置操作系統、框架、數據庫和應用外,還應該及時打補丁和更新。

使用含有已知漏洞的組件

運行組件(數據庫、框架和其他軟件模塊)跟應用具有相同的權限要求。若攻擊者利用了存在漏洞的組件,這類攻擊會導致數據損失或遠程接管服務器等重大事故。使用含有已知漏洞的組件的應用和API可能會破壞應用防御機制,啟動攻擊,并產生特定影響。

我們的web應用滲透測試本身就是一項對網絡服務器上運行的所有服務開展綜合網絡測試的服務。
若web應用程序配置了支持訪問Android和iOS移動應用的API或web服務,我們的web應用滲透測試就可以結合移動應用安全評估,端到端全面驗證您的安全狀態。


web應用測試方法

威聯科技可對web應用開展以下形式的web應用滲透測試:

web應用黑盒滲透測試

黑盒測試是在不了解待測試系統內部工作原理、源代碼和系統架構的前提下對系統展開測試的方法。這種測試方法可以更真實地模仿攻擊者,了解他們一般如何對應用發起攻擊。但是,由于不了解內部應用工作原理,所以缺陷及/或漏洞檢測比較費時費力,并且不會完全了解應用的安全狀況。


Web應用灰盒滲透測試

灰盒測試是在對系統內部工作原理有一定認識的前提下對系統開展測試的方法。這里對內部工作原理的了解通常也只限于應用的URL及與用戶職位相對應的用戶憑證。灰盒測試可以基于對目標系統的預先了解理清各項工作的輕重主次,做好工作規劃。加深對系統可以讓檢測工作事半功倍,在大幅減少工作量的同時識別出更多重大漏洞,并且可以讓分析工程師更近距離地分析理解攻擊者在應用評估方面相比安全專業人員具有的優勢。滲透測試工程師可以通過注冊測試對web應用程序進行全面評估,檢測是否存在潛在漏洞。此外,測試工程師在這個階段要檢查是否存在可能導致縱向和橫向提權的應用權限弱點。


web應用白盒滲透測試

白盒測試是在對目標系統全面了解的情況下開展測試的方法。威聯科技的白盒滲透測試服務由灰盒測試+安全代碼審核構成。這類評估可以對應用及基礎架構的安全狀態有全面的了解。


滲透測試方法

我們的滲透測試方法是依托OWASP測試指南和開源安全測試方法手冊(OSSTMM)設計形成的一套方案流程:

Web應用程序滲透測試

通過我們的服務您可以獲得什么?

最終報告中將闡述各項評估結果,并根據IT和網絡安全國際標準對優點/缺點進行對比。我們會對識別的弱點進行評估,同時提出相應的建議和補救措施,并根據相關風險等級進行排序。向客戶口頭匯報評估結果時,雙方將對最終報告進行討論。報告將對已開展的安全審計或滲透測試工作做一個全面透徹的總結。此外,報告還將詳細闡述評估結果,并基于此展開相應論述并提出建議,以便進一步完善安全管理措施。

Web應用程序滲透測試

安全和滲透測試證書

威聯科技安全顧問和滲透測試工程師都擁有網絡安全和滲透測試領域最具含金量的證書,比如:CREST CRT、SANS/GIAC GXPN、GPEN、 GWAPT、GCIH、GMOB、OSCP、CEH、CISSP、CISA等!

Web應用程序滲透測試

更多證書,請點擊

? 凯时国际体育