渗透测试(也称为pentest)是针对计算机系统的模拟网络攻击,以检查可利用的漏洞。在Web应用程序安全性的上下文中,渗透测试通常用于增强Web应用程序防火墙(WAF)。
Pentesting可能涉及企图破坏任何数量的应用程序系统(例如,应用程序协议接口(API),前端/后端服务器)以发现漏洞,例如容易受到代码注入攻击的未经过滤的输入。
渗透测试提供的见解可用于调整WAF安全策略并修补检测到的漏洞
渗透测试方法
外部测试
外部渗透测试的目标是在互联网上可见的公司资产,例如,Web应用程序本身,公司网站以及电子邮件和域名服务器(DNS)。目的是获得访问权限并提取有价值的数据。
内部测试
在内部测试中,可以访问位于防火墙后面的应用程序的测试人员可以模拟恶意内部人员的攻击。这并不一定模拟一个流氓员工。常见的开始情况可能是员工由于网络钓鱼攻击而导致其凭据被盗。
盲测
在盲测中,仅给测试人员指定目标企业的名称。这使安全人员可以实时查看实际的应用攻击将如何发生。
双盲测试
在双盲测试中,安全人员没有模拟攻击的先验知识。与现实世界一样,他们在尝试突破之前将没有任何时间加强防御。
定向测试
渗透测试和Web应用程序防火墙
渗透测试和WAF是互斥的,但互惠互利的安全措施。
对于多种pentesting(盲和双盲测试除外),测试人员可能会使用WAF数据(例如日志)来定位和利用应用程序的弱点。
反过来,WAF管理员可以从pentesting数据中受益。测试完成后,可以更新WAF配置以防止测试中发现的薄弱环节。
最后,pentesting满足安全审核程序的某些合规性要求,包括PCIDSS和SOC2.某些标准(例如)只能通过使用经过认证的WAF来满足。但是,这样做不会因pentesting的上述好处和改进WAF配置的能力而使pentesting变得如此有用。
版权声明:本站所有作品(图文、音视频)均由用户自行上传分享,仅供网友学习交流,不声明或保证其内容的正确性,如发现本站有涉嫌抄袭侵权/违法违规的内容。请举报,一经查实,本站将立刻删除。