资料下载

自动化Web应用程序安全性测试的重要性& 渗透测试

由管理员撰写。发表于 安全文章

4.2 1 1 1 1 1 评分4.20(5投票)
压住他

自动化Web应用程序安全性测试1您是否曾经尝试列出需要在网络和Web场上保护的所有攻击面的列表?尝试去做,就会有一件事脱颖而出。确保网站和Web应用程序的安全。我们有 防火墙, 入侵检测系统IPS系统 检查每个到达我们服务器的数据包并能够将其标记为 恶意的, 但是关于 网络应用?

Web应用安全 与...不同 网络安全。在配置防火墙时,您可以控制哪些人可以访问哪些内容,但是在涉及Web应用程序安全性时,您必须允许所有人(包括坏人)进入其中,并希望每个人都遵守规则。因此 Web应用程序应该是安全的; Web应用程序的安全性应该给予 更多关注 考虑到当今网络应用程序的复杂性 自动化的.

让我们深入研究该主题,看看为什么需要将其自动化。

安全工具,例如 Netsparker 由安全专家用来自动 扫描网站网络应用 对于 隐藏的漏洞. 立即下载副本!

自动化的Web安全测试可节省时间

也称为 渗透测试 要么 ”笔测试”,这是安全工程师或“笔测试仪”应用一系列 注射 要么 漏洞测试 反对接受用户输入以发现潜在漏洞并在网站所有者被利用并造成巨大麻烦甚至造成财务损失之前警告网站所有者的网站区域。常见的地方可能包括用户数据提交区域,例如身份验证表单,注释部分,用户查看配置选项(例如布局选择),以及接受用户输入的其他任何位置。这也可以包括URL本身,该URL可能具有对搜索引擎优化友好的URI格式系统。

大多数MVC框架或Web应用程序套件(如WordPress)都提供此类URI路由。 (我们区分URL和URI。URL是整个地址,包括http://部分,整个域以及其后的所有内容;而URI是通常在域之后开始的部分(但有时包括上下文) ,例如/ user / view / 123或test.com/articles/123。)

例如,您的框架可能采用URI样式,如test.com/system/function/data1/data2/,其中system是您希望调用的控制系统(例如商品系统),function是您希望调用的动作(例如读取或编辑),其余为数据值,通常位于假定的位置(例如年/月/文章标题)。

这些单独值中的每一个都需要特定的数据类型,例如字符串,整数,某个正则表达式匹配或无限其他可能性。如果未严格执行数据类型,或者-确实发生了这种情况,可悲的是-对用户提交的数据进行了适当的清理,那么黑客可能会获得信息以获取进一步的访问权限,甚至没有通过某个方式强制进行直接后门访问  SQL注入 或一个 远程文件包含。此类漏洞是一种普遍且持续的威胁,例如 SQL注入已经超过OWASP Top 10列表超过14年.

Web应用程序中可能存在数百万,数十亿甚至更多的各种URI组合,包括默认情况下甚至您不知道的URI。可能是随机的phpinfo();公开可访问的脚本,错误地被开发人员遗留在其中,未经检查的用户输入在某处,某些文件上载系统无法正确阻止脚本执行-任意数量的可能性。没有安全工程师或其团队可以合理地假设或测试所有这些可能性。黑帽黑客也知道这一切,有时比负责防御这些威胁的黑客更好。

 

自动化不仅仅是好人使用的

自动化Web应用程序安全性测试2存在许多自动安全工具,不是测试和发现安全漏洞,而是在发现漏洞时加以利用。打算破坏您的Web应用程序的黑帽黑客也拥有自动化套件,因为他们也知道手动方法是浪费时间(也就是说,直到他们找到有用的利用方法为止,这有时为时已晚)。一些实用程序,例如 Slowloris的存在是为了利用常见Web服务(例如Apache Web服务器本身)中的已知弱点。其他人则祈祷以不安全的常见Web应用程序的形式寻找机会-较旧版本的Wordpress,phpBB,phpMyAdmin,cPanel或其他经常利用的Web应用程序。存在 数十个类别漏洞,每个都有数千种或数百万种不同的攻击变体。寻找这些是艰巨的任务。

黑客可以尽快启动Web应用程序,对其进行自动扫描,并可能发现漏洞。利用自动化 Web应用程序漏洞扫描程序 如Netsparker或 Netsparker云 为您提供敏捷性和主动性,以在威胁成为严重破坏性问题之前发现并阻止它们。对于大型论坛系统,博客平台和自定义Web应用程序等复杂的Web应用程序尤其如此。用户提交的数据和功能的可能性越大,存在和利用漏洞的机会就越大。请记住,对于您安装的每个新版本的Web应用程序,这都会再次更改。确实,这是一项艰巨的任务。

没有自动化的Web应用程序安全测试,就不可能实现真正的强大安全状态。当然,最终还会存在许多其他层-特权最少的实践,隔离的(监狱,chroot,虚拟机)系统,防火墙等-但是如果前门不安全,那么如果墙壁不可穿透怎么办?借助自动化提供的速度,强大而强大的Web漏洞扫描程序,当然还可以修补发现的缺陷和风险,因此安全测试可以尽可能合理地确保Web应用程序和基础结构的前门得以保持和安全。

返回“安全文章”部分

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置