博为峰网餃工注小:门www.atstudy.com超实用!手把手教你如何 3 步进行 Web 渗透测试!一个偶然的机会,有幸邀请到了一家国外专门做 web 安全的公司来对自己的 web 系统做安全测试。4 周下来,我与几位安全专家多次沟通,完成了对自己系统的威胁建模,渗透测试,白盒测试,一共发现了 28 个漏洞。经验宝贵,因此有必要好好总结下。现在,随着企业信息化建设的开展,越来越多的重要数据会以电子媒介的形式存放,这在方便企业办公的同时,也造成了极大的安全隐患。近年来,随着 APT 攻击的蔓延,使得越来越多的企业遭受不可挽回的重大损失。在目的明确、装备精良、经验丰富的“雇佣军”式的攻击者面前,传统的安全设备已显得力不从心,企业需要做的是定期开展专业的渗透测试,来降低风险,加固安全。那么,什么是渗透测试?渗透测试,是渗透测试工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标网博为峰网較工注小覚www.atstudy.com 络、主机、应用的安全作深入的探测,发现系统最脆弱的环节。如果说安全检测是“横向地毯式自动化扫描”,那么渗透测试就是“纵向深度人工化入侵”。可见渗透测试的目的是发现目标系统潜在的业务漏洞风险。安全问题都体现在输入输出的问题上,能够分析数据流就有迹可循了。先知道渗透测试的流程,用工具找到漏洞,了解并且复现它。如何进行 Web 渗透测试?1、完整 web 渗透测试框架当需要测试的 web 应用数以千计,就有必要建立一套完整的安全测试框架,流程的最高目标是要保证交付给客户的安全测试服务质量。立顼1 威跡分折rr制埶试用例测试执行&1问題修复&回归测试项昌虽结评JT4J立项:项目建立,时间安排,人力分配,目标制定,厂商接口人确定;系统分析&威胁分析:针对具体的web 应用,分析系统架构、使用的组件、对外提供的接口等以 STRIDE 为威胁模型进行对应的安全威胁分析输出安全威胁分析表重点关注 top3 威胁;制定测试用例:根据威胁分析的结果制定对应的测试用例,测试用例按照模板输出,具备可执行性;测试执行&漏洞挖掘:测试用例执行&发散测试,挖掘对应的安全问题 or 漏洞;问题修复&回归测试:指导客户应用开发方修复安全问题 or 漏洞,并进行回归测试,确保安全问题 or漏洞得到修复,并且没有引入新的安全问题;项目总结评审:项目过程总结,输出文档评审,相关文档归档。博为峰网較***atstudy.com*••www.atstudy.com博为峰网較***atstudy.com*••www...
