腾讯分分彩组三杀号 > Web分析 >

如何更好地实施Web应用程序渗透测试?

2018-07-22 14:29

  企业越依赖和基于云的数据系统,就越容易遭受外部攻击者的攻击和破坏。在考虑Web应用程序的数据安全问题时,确立渗透测试方法变得日益重要。

  在设计和捍卫安全系统时,如何确保这些系统正常运行?答案就在于构建一种渗透测试方法来保护信息资产。

  简言之,渗透测试就是为了确定Web应用中的漏洞程度而对企业的最佳防御系统进行测试并利用其漏洞的一种可控的网络攻击。

  1. 在获得授权的环境中主动地测试和攻击自己的系统,其重点是IT基础架构、操作系统漏洞、应用程序问题及用户和配置错误等。

  任何数据都不可能完全安全。但有效的渗透测试方法可以极大地清除一些不必要的漏洞。

  有效的渗透测试方法可以确认扫描软件无法发现的漏洞,而且可以确定已有的网络防御系统如何适时地检测和响应攻击,确定一次成功攻击的危害程度,还可以确保遵循所有的数据安全合规协议。

  认真对待渗透测试方法的另一个好处在于其对公司内部文化的潜在影响。企业的领导层展示出对数据安全的重视和要求,就会增强雇员对其重视的程度,后者也会尽最大努力遵循终端用户协议。

  企业应经常执行有效的渗透测试。为避免将来遭受攻击而丢失重要数据,安全管理者应积极地强化Web应用程序的防御。在计划渗透测试方法时,不妨考虑一下企业所属行业。并非每一家企业都有相同的安全需要,但公司有责任确保机密信息的安全性。

  2.对网络基础架构或Web应用程序进行的任何修改,其中可能涉及升级、更改、安全补丁、安装新软件或硬件、大修等。

  3.策略变更。对于终端用户来说,问题尤其如此。策略的变更会影响到用户与Web应用交互的性质,从而带来新挑战。

  4.企业迁移或增加新的办公场所。其中涉及通过ISP而不是通过企业的安全网络访问Web应用程序的远程雇员。

  最后,在设计渗透测试方法时,保持谨慎很有必要。渗透测试的花费要远远小于数据泄露所造成的成本。

  在构建渗透测试方法时,必须记住渗透测试要求很多的信任。企业要找到一家既有经验又熟悉企业特定需要的供应商。

  范围:渗透测试针对的是企业的特定范围还是总体?哪些人和哪些不属于此范围?

  时间表:在测试期间,企业仍要正常运行,所以确定在什么时间执行渗透测试非常重要。应将渗透测试的总体时间安排作为渗透测试方法的一个关键要素。

  黑盒测试与白盒测试:在白盒测试中,渗透测试者可得到基本的实施测试的访问和信息,然后由此开始查找并利用漏洞的过程。在黑盒测试中,测试者就像是外部的攻击者一样实施攻击。

  沟通:在测试涉及到的各方中建立沟通渠道是很重要的,因为沟通中出现的任何差错都可能导致各种不可预料的后果。

  在这个阶段,供应商开始实施初步攻击。如果计划得当,供应商就可以明确攻击什么和无法攻击什么。

  如果供应商没有详细地调查关于企业、员工、资产、负债的信息,其工作就做得不够。花费在这个阶段的时间很重要也会很多。

  在收集了相关资料后,下一步就是使用这些信息构建公司及资产的完整模型。然后,确定主要和次要的目标资产,并做进一步调查。

  资产牵涉到很多要素,其中包括企业数据(例如,策略、过程、商业秘密)、雇员和客户数据、人员资产(可通过某种方式利用其弱点的高级雇员)等。在健全的渗透测试方法中,供应商不应偏向于其找到的某些资产,除非被要求这样做。供应商应努力确认价值最高的资产。

  在确立了目标资产后,供应商就会确定利用这些资产漏洞的最佳入口。良好的渗透测试方法可以对项目范围提供严格的指南,以确保满足客户所期望的结果。

  有时,这种分析可以揭示所有的潜在漏洞。另外,供应商还会被要求针对特定的潜在问题进行渗透测试。彻底的渗透测试方法可以评估漏洞程度,其中包括漏洞水平及其可能暴露信息的敏感性。

  渗透测试的下一步就是攻击了。正如真实的数据泄露一样,漏洞利用可以很快地实施和执行。

  在供应商获得了系统的访问权之后,就会设法避免被检测,同时还要尝试“特权提升”策略,以获得更多的系统访问和其它的潜在资源。

  在实现目标之后,渗透测试进行到漏洞利用的后期阶段,供应商会评估被攻击系统或入口点的价值,并决定是否可以进一步利用其漏洞。

  很明显,彻底的渗透测试在数据收集、数据分析、漏洞利用等方面需要花费大量的工作。但是,供应商该如何报告信息才能使企业将其转换为可行动的解决方案呢?

  要求具体建议:高级的建议可能会提供企业Web应用的基本环境配置情况,但对于具体实施的人来说却没有太大用处。

  风险等级:很明显,攻击越难实施和完成,真正的攻击者在实施时面临的困难就会越多。供应商应提供一份详细报告,指明其发现漏洞的风险等级,还要评估这些漏洞被利用后对企业产生的潜在影响。

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。