
EITC/IS/WAPT Web 应用程序渗透测试是欧洲 IT 认证计划,涉及 Web 应用程序渗透测试(白色黑客)的理论和实践方面,包括网站爬网、扫描和攻击技术的各种技术,包括专门的渗透测试工具和套件.
EITC/IS/WAPT Web 应用程序渗透测试的课程包括 Burp Suite 简介、Web 爬虫和 DVWA、Burp Suite 暴力测试、WAFW00F Web 应用程序防火墙 (WAF) 检测、目标范围和爬虫、发现隐藏文件ZAP、WordPress 漏洞扫描和用户名枚举、负载均衡器扫描、跨站点脚本、XSS – 反射、存储和 DOM、代理攻击、在 ZAP 中配置代理、文件和目录攻击、使用 DirBuster 发现文件和目录、Web 攻击实践, OWASP Juice Shop, CSRF – 跨站请求伪造, cookie 收集和逆向工程, HTTP 属性 – cookie 窃取, SQL 注入, DotDotPwn – 目录遍历模糊测试, iframe 注入和 HTML 注入, Heartbleed 漏洞利用 – 发现和利用, PHP 代码注入, bWAPP – HTML 注入、反射 POST、使用 Commix 的操作系统命令注入、服务器端包括 SSI 注入、Docker 中的渗透测试、OverTheWire Natas、LFI 和命令注入、用于渗透测试的 Google 黑客攻击、用于渗透测试的 Google Dorks、Apache2 ModSecurity 以及 Nginx ModSecurity,在以下结构内,包含作为此 EITC 认证参考的综合视频教学内容。
Web 应用程序安全性(通常称为 Web AppSec)是设计网站即使在受到攻击时也能正常运行的概念。 这个概念是将一组安全措施集成到 Web 应用程序中,以保护其资产免受恶意代理的侵害。 与所有软件一样,Web 应用程序也容易出现缺陷。 其中一些缺陷是可以被利用的实际漏洞,对企业构成风险。 通过 Web 应用程序安全性可以防止此类缺陷。 它需要采用安全的开发方法并在整个软件开发生命周期 (SDLC) 中实施安全控制,确保解决设计缺陷和实施问题。 在线渗透测试由旨在使用所谓的白色黑客方法发现和利用 Web 应用程序漏洞的专家执行,是实现适当防御的基本实践。
网络渗透测试,也称为网络渗透测试,模拟对网络应用程序的网络攻击,以发现可利用的缺陷。 在 Web 应用程序安全 (WAF) 的上下文中,渗透测试经常用于补充 Web 应用程序防火墙。 通常,笔测试需要尝试渗透任意数量的应用程序系统(例如,API、前端/后端服务器)以发现漏洞,例如易受代码注入攻击的未经处理的输入。
在线渗透测试的结果可用于配置 WAF 安全策略并解决发现的漏洞。
渗透测试有五个步骤。
渗透测试过程分为五个步骤。
- 规划和侦察
定义测试的范围和目标,包括要解决的系统和要使用的测试方法,是第一阶段。
为了更好地了解目标的工作方式及其潜在弱点,请收集情报(例如,网络和域名、邮件服务器)。 - 扫描
下一阶段是弄清楚目标应用程序将如何对不同类型的入侵尝试做出反应。 这通常通过采用以下方法来完成:
静态分析——检查应用程序的代码以预测它在运行时的行为。 在一次通过中,这些工具可以扫描整个代码。
动态分析是在应用程序运行时检查应用程序代码的过程。 这种扫描方法更实用,因为它提供了应用程序性能的实时视图。 - 获得访问权
为了找到目标的弱点,这一步使用了跨站点脚本、SQL 注入和后门等 Web 应用程序攻击。 为了了解这些漏洞可能造成的损害,测试人员试图通过提升权限、窃取数据、拦截流量等来利用它们。 - 保持访问
此阶段的目的是评估是否可以利用漏洞在受感染的系统中建立长期存在,从而允许不良行为者获得深入访问。 目标是模仿高级持续性威胁,这些威胁可以在系统中停留数月,以窃取公司最敏感的信息。 - 分析
然后将渗透测试结果放入包含以下信息的报告中:
被详细利用的漏洞
获得的敏感数据
渗透测试人员能够在系统中保持不被注意的时间量。
安全专家使用这些数据来协助配置企业的 WAF 设置和其他应用程序安全解决方案,以修补漏洞并防止进一步的攻击。
渗透测试方法
- 外部渗透测试侧重于互联网上可见的公司资产,例如 Web 应用程序本身、公司网站以及电子邮件和域名服务器 (DNS)。 目标是获取和提取有用信息。
- 内部测试需要测试人员访问公司防火墙后面的应用程序,以模拟敌对的内部攻击。 这不是流氓员工模拟所必需的。 由于网络钓鱼尝试而获得凭据的员工是一个常见的起点。
- 盲测是指简单地向测试人员提供被测公司的名称。 这使安全专家可以实时查看实际的应用程序攻击如何发挥作用。
- 双盲测试:在双盲测试中,安全专业人员事先不知道模拟攻击。 就像在现实世界中一样,他们没有时间在企图突破之前加固防御工事。
- 有针对性的测试——在这种情况下,测试人员和安全人员协作并跟踪彼此的动作。 这是一项出色的培训练习,可以从黑客的角度为安全团队提供实时反馈。
Web 应用程序防火墙和渗透测试
渗透测试和 WAF 是两种独立但互补的安全技术。 测试人员可能会利用 WAF 数据(例如日志)来查找和利用应用程序在许多类型的渗透测试中的薄弱环节(盲测和双盲测试除外)。
反过来,渗透测试数据可以帮助 WAF 管理员。 测试完成后,可以修改 WAF 配置以防止在测试期间检测到缺陷。
最后,渗透测试满足某些安全审计方法的合规性要求,例如 PCI DSS 和 SOC 2。某些要求,例如 PCI-DSS 6.6,只有使用经过认证的 WAF 才能满足。 但是,由于上述好处和修改 WAF 设置的潜力,这并没有降低渗透测试的用处。
网络安全测试的意义是什么?
Web 安全测试的目标是识别 Web 应用程序及其设置中的安全漏洞。 应用层是主要目标(即在 HTTP 协议上运行的内容)。 向 Web 应用程序发送不同形式的输入以引发问题并使系统以意想不到的方式响应是测试其安全性的常用方法。 这些“负面测试”旨在查看系统是否在做任何它不打算完成的事情。
认识到 Web 安全测试不仅仅需要验证应用程序的安全特性(例如身份验证和授权),这一点也很重要。 确保其他功能的安全部署也很重要(例如,业务逻辑和使用正确的输入验证和输出编码)。 目的是确保 Web 应用程序的功能是安全的。
安全评估有哪些类型?
- 测试动态应用程序安全 (DAST)。 这种自动化的应用程序安全测试最适合必须满足监管安全要求的低风险、面向内部的应用程序。 将 DAST 与一些针对常见漏洞的手动在线安全测试相结合,是中等风险应用程序和正在发生微小变化的关键应用程序的最佳策略。
- 静态应用程序安全检查 (SAST)。 此应用程序安全策略包括自动和手动测试方法。 它非常适合检测错误,而无需在实时环境中运行应用程序。 它还允许工程师扫描源代码以系统地检测和修复软件安全漏洞。
- 渗透检查。 这种手动应用程序安全测试非常适合基本应用程序,尤其是那些正在发生重大变化的应用程序。 为了找到高级攻击场景,评估使用业务逻辑和基于对手的测试。
- 运行时中的应用程序自我保护 (RASP)。 这种不断发展的应用程序安全方法结合了各种技术技术来检测应用程序,以便可以监视威胁并希望在它们发生时实时阻止它们。
应用安全测试在降低公司风险方面起到什么作用?
对 Web 应用程序的绝大多数攻击包括:
- SQL注入
- XSS(跨站脚本)
- 远程命令执行
- 路径遍历攻击
- 限制内容访问
- 受损的用户帐户
- 恶意代码安装
- 销售收入损失
- 客户信任被侵蚀
- 损害品牌声誉
- 还有很多其他的攻击
在当今的 Internet 环境中,Web 应用程序可能会受到各种挑战的损害。 上图描述了攻击者实施的一些最常见的攻击,每一种攻击都可能对单个应用程序或整个业务造成重大损害。 了解使应用程序易受攻击的许多攻击以及攻击的可能结果,使公司能够提前解决漏洞并有效地对其进行测试。
可以在 SDLC 的早期阶段建立缓解控制,通过识别漏洞的根本原因来防止任何问题。 在 Web 应用程序安全测试期间,这些威胁如何工作的知识也可用于针对已知的兴趣点。
识别攻击的影响对于管理公司的风险也很重要,因为成功攻击的影响可用于确定整体漏洞的严重性。 如果在安全测试期间发现漏洞,确定其严重性可以让公司更有效地优先考虑补救措施。 为了降低对公司的风险,从严重的严重问题开始,然后逐步降低影响。
在确定问题之前,评估公司应用程序库中每个程序的可能影响将帮助您确定应用程序安全测试的优先级。 Wenb 安全测试可以安排首先针对公司的关键应用程序,通过更有针对性的测试来降低对业务的风险。 借助已建立的备受瞩目的应用程序列表,可以安排 wenb 安全测试首先针对公司的关键应用程序,并进行更有针对性的测试以降低对业务的风险。
在 Web 应用程序安全测试期间,应检查哪些功能?
在 Web 应用程序安全测试期间,请考虑以下非详尽的功能列表。 每一项的无效实施都可能导致弱点,使公司处于危险之中。
- 应用程序和服务器的配置。 加密/加密设置、Web 服务器配置等都是潜在缺陷的示例。
- 输入和错误处理的验证 输入和输出处理不佳会导致 SQL 注入、跨站点脚本 (XSS) 和其他典型的注入问题。
- 会话的验证和维护。 可能导致用户冒充的漏洞。 还应考虑凭证强度和保护。
- 授权。 该应用程序防止垂直和水平特权升级的能力正在测试中。
- 商业逻辑。 大多数提供业务功能的程序都依赖这些。
- 客户端的逻辑。 这种类型的功能在现代的、大量使用 JavaScript 的网页以及使用其他类型的客户端技术(例如,Silverlight、Flash、Java 小程序)的网页中变得越来越普遍。
要详细了解认证课程,您可以扩展和分析下表。
EITC/IS/WAPT Web 应用程序渗透测试认证课程以视频形式引用开放式教学材料。 学习过程分为逐步结构(课程 -> 课程 -> 主题),涵盖相关课程部分。 还提供与领域专家的无限咨询。
有关认证程序检查的详细信息 运行流程.