EITC/IS/WAPT Web 應用程序滲透測試是歐洲 IT 認證計劃,涉及 Web 應用程序滲透測試(白色黑客)的理論和實踐方面,包括網站爬網、掃描和攻擊技術的各種技術,包括專門的滲透測試工具和套件.
EITC/IS/WAPT Web 應用程序滲透測試的課程包括 Burp Suite 簡介、Web 爬蟲和 DVWA、Burp Suite 暴力測試、WAFW00F Web 應用程序防火牆 (WAF) 檢測、目標範圍和爬蟲、發現隱藏文件ZAP、WordPress 漏洞掃描和用戶名枚舉、負載均衡器掃描、跨站點腳本、XSS – 反射、存儲和 DOM、代理攻擊、在 ZAP 中配置代理、文件和目錄攻擊、使用 DirBuster 發現文件和目錄、Web 攻擊實踐, OWASP Juice Shop, CSRF – 跨站請求偽造, cookie 收集和逆向工程, HTTP 屬性 – cookie 竊取, SQL 注入, DotDotPwn – 目錄遍歷模糊測試, iframe 注入和 HTML 注入, Heartbleed 漏洞利用 – 發現和利用, PHP 代碼注入, bWAPP – HTML 注入、反射 POST、使用 Commix 的操作系統命令注入、服務器端包括 SSI 注入、Docker 中的滲透測試、OverTheWire Natas、LFI 和命令注入、用於滲透測試的 Google 黑客攻擊、用於滲透測試的 Google Dorks、Apache2 ModSecurity 以及 Nginx ModSecurity,在以下結構內,包含作為此 EITC 認證參考的綜合視頻教學內容。
Web 應用程序安全性(通常稱為 Web AppSec)是設計網站即使在受到攻擊時也能正常運行的概念。 這個概念是將一組安全措施集成到 Web 應用程序中,以保護其資產免受惡意代理的侵害。 與所有軟件一樣,Web 應用程序也容易出現缺陷。 其中一些缺陷是可以被利用的實際漏洞,對企業構成風險。 通過 Web 應用程序安全性可以防止此類缺陷。 它需要採用安全的開發方法並在整個軟件開發生命週期 (SDLC) 中實施安全控制,確保解決設計缺陷和實施問題。 在線滲透測試由旨在使用所謂的白色黑客方法發現和利用 Web 應用程序漏洞的專家執行,是實現適當防禦的基本實踐。
網絡滲透測試,也稱為網絡滲透測試,模擬對網絡應用程序的網絡攻擊,以發現可利用的缺陷。 在 Web 應用程序安全 (WAF) 的上下文中,滲透測試經常用於補充 Web 應用程序防火牆。 通常,筆測試需要嘗試滲透任意數量的應用程序系統(例如,API、前端/後端服務器)以發現漏洞,例如易受代碼注入攻擊的未經處理的輸入。
在線滲透測試的結果可用於配置 WAF 安全策略並解決發現的漏洞。
滲透測試有五個步驟。
滲透測試過程分為五個步驟。
- 規劃和偵察
定義測試的範圍和目標,包括要解決的系統和要使用的測試方法,是第一階段。
為了更好地了解目標的工作方式及其潛在弱點,請收集情報(例如,網絡和域名、郵件服務器)。 - 掃描
下一階段是弄清楚目標應用程序將如何對不同類型的入侵嘗試做出反應。 這通常通過採用以下方法來完成:
靜態分析——檢查應用程序的代碼以預測它在運行時的行為方式。 在一次通過中,這些工具可以掃描整個代碼。
動態分析是在應用程序運行時檢查應用程序代碼的過程。 這種掃描方法更實用,因為它提供了應用程序性能的實時視圖。 - 獲得訪問權
為了找到目標的弱點,這一步使用了跨站點腳本、SQL 注入和後門等 Web 應用程序攻擊。 為了了解這些漏洞可能造成的損害,測試人員試圖通過提升權限、竊取數據、攔截流量等來利用它們。 - 保持訪問
此階段的目的是評估是否可以利用漏洞在受感染的系統中建立長期存在,從而允許不良行為者獲得深入訪問。 目標是模仿高級持續性威脅,這些威脅可以在系統中停留數月,以竊取公司最敏感的信息。 - 分析
然後將滲透測試結果放入包含以下信息的報告中:
被詳細利用的漏洞
獲得的敏感數據
滲透測試人員能夠在系統中保持不被注意的時間量。
安全專家使用這些數據來協助配置企業的 WAF 設置和其他應用程序安全解決方案,以修補漏洞並防止進一步的攻擊。
滲透測試方法
- 外部滲透測試側重於互聯網上可見的公司資產,例如 Web 應用程序本身、公司網站以及電子郵件和域名服務器 (DNS)。 目標是獲取和提取有用信息。
- 內部測試需要測試人員訪問公司防火牆後面的應用程序,以模擬敵對的內部攻擊。 這不是流氓員工模擬所必需的。 由於網絡釣魚嘗試而獲得憑據的員工是一個常見的起點。
- 盲測是指簡單地向測試人員提供被測公司的名稱。 這使安全專家可以實時查看實際的應用程序攻擊如何發揮作用。
- 雙盲測試:在雙盲測試中,安全專業人員事先不知道模擬攻擊。 就像在現實世界中一樣,他們沒有時間在企圖突破之前加固防禦工事。
- 有針對性的測試——在這種情況下,測試人員和安全人員協作並跟踪彼此的動作。 這是一項出色的培訓練習,可以從黑客的角度為安全團隊提供實時反饋。
Web 應用程序防火牆和滲透測試
滲透測試和 WAF 是兩種獨立但互補的安全技術。 測試人員可能會利用 WAF 數據(例如日誌)來查找和利用應用程序在許多類型的滲透測試中的薄弱環節(盲測和雙盲測試除外)。
反過來,滲透測試數據可以幫助 WAF 管理員。 測試完成後,可以修改 WAF 配置以防止在測試期間檢測到缺陷。
最後,滲透測試滿足某些安全審計方法的合規性要求,例如 PCI DSS 和 SOC 2。某些要求,例如 PCI-DSS 6.6,只有使用經過認證的 WAF 才能滿足。 但是,由於上述好處和修改 WAF 設置的潛力,這並沒有降低滲透測試的用處。
網絡安全測試的意義是什麼?
Web 安全測試的目標是識別 Web 應用程序及其設置中的安全漏洞。 應用層是主要目標(即在 HTTP 協議上運行的內容)。 向 Web 應用程序發送不同形式的輸入以引發問題並使系統以意想不到的方式響應是測試其安全性的常用方法。 這些“負面測試”旨在查看系統是否在做任何它不打算完成的事情。
認識到 Web 安全測試不僅僅需要驗證應用程序的安全特性(例如身份驗證和授權),這一點也很重要。 確保其他功能的安全部署也很重要(例如,業務邏輯和使用正確的輸入驗證和輸出編碼)。 目的是確保 Web 應用程序的功能是安全的。
安全評估有哪些類型?
- 測試動態應用程序安全 (DAST)。 這種自動化的應用程序安全測試最適合必須滿足監管安全要求的低風險、面向內部的應用程序。 將 DAST 與一些針對常見漏洞的手動在線安全測試相結合,是中等風險應用程序和正在發生微小變化的關鍵應用程序的最佳策略。
- 靜態應用程序安全檢查 (SAST)。 此應用程序安全策略包括自動和手動測試方法。 它非常適合檢測錯誤,而無需在實時環境中運行應用程序。 它還允許工程師掃描源代碼以系統地檢測和修復軟件安全漏洞。
- 滲透檢查。 這種手動應用程序安全測試非常適合基本應用程序,尤其是那些正在發生重大變化的應用程序。 為了找到高級攻擊場景,評估使用業務邏輯和基於對手的測試。
- 運行時中的應用程序自我保護 (RASP)。 這種不斷發展的應用程序安全方法結合了各種技術技術來檢測應用程序,以便可以監視威脅並希望在它們發生時實時阻止它們。
應用安全測試在降低公司風險方面起到什麼作用?
對 Web 應用程序的絕大多數攻擊包括:
- SQL注入
- XSS(跨站腳本)
- 遠程命令執行
- 路徑遍歷攻擊
- 限制內容訪問
- 受損的用戶帳戶
- 惡意代碼安裝
- 銷售收入損失
- 客戶信任被侵蝕
- 損害品牌聲譽
- 還有很多其他的攻擊
在當今的 Internet 環境中,Web 應用程序可能會受到各種挑戰的損害。 上圖描述了攻擊者實施的一些最常見的攻擊,每一種攻擊都可能對單個應用程序或整個業務造成重大損害。 了解使應用程序易受攻擊的許多攻擊以及攻擊的可能結果,使公司能夠提前解決漏洞並有效地對其進行測試。
可以在 SDLC 的早期階段建立緩解控制,通過識別漏洞的根本原因來防止任何問題。 在 Web 應用程序安全測試期間,這些威脅如何工作的知識也可用於針對已知的興趣點。
識別攻擊的影響對於管理公司的風險也很重要,因為成功攻擊的影響可用於確定整體漏洞的嚴重性。 如果在安全測試期間發現漏洞,確定其嚴重性可以讓公司更有效地優先考慮補救措施。 為了降低對公司的風險,從嚴重的嚴重問題開始,然後逐步降低影響。
在確定問題之前,評估公司應用程序庫中每個程序的可能影響將幫助您確定應用程序安全測試的優先級。 Wenb 安全測試可以安排首先針對公司的關鍵應用程序,通過更有針對性的測試來降低對業務的風險。 借助已建立的備受矚目的應用程序列表,可以安排 wenb 安全測試首先針對公司的關鍵應用程序,並進行更有針對性的測試以降低對業務的風險。
在 Web 應用程序安全測試期間,應檢查哪些功能?
在 Web 應用程序安全測試期間,請考慮以下非詳盡的功能列表。 每一項的無效實施都可能導致弱點,使公司處於危險之中。
- 應用程序和服務器的配置。 加密/加密設置、Web 服務器配置等都是潛在缺陷的示例。
- 輸入和錯誤處理的驗證 輸入和輸出處理不佳會導致 SQL 注入、跨站點腳本 (XSS) 和其他典型的注入問題。
- 會話的驗證和維護。 可能導致用戶冒充的漏洞。 還應考慮憑證強度和保護。
- 授權。 該應用程序防止垂直和水平特權升級的能力正在測試中。
- 商業邏輯。 大多數提供業務功能的程序都依賴這些。
- 客戶端的邏輯。 這種類型的功能在現代、大量 JavaScript 的網頁以及使用其他類型的客戶端技術(例如 Silverlight、Flash、Java 小程序)的網頁中變得越來越普遍。
要詳細了解認證課程,您可以擴展和分析下表。
EITC/IS/WAPT Web 應用程序滲透測試認證課程以視頻形式引用開放式教學材料。 學習過程分為逐步結構(課程 -> 課程 -> 主題),涵蓋相關課程部分。 還提供與領域專家的無限諮詢。
有關認證程序檢查的詳細信息 如何操作.
下載 EITC/IS/WAPT Web 應用程式滲透測試計畫的完整離線自學準備資料(PDF 檔案)