Web应用程序渗透测试

web应用程序是绝大多数企业的核心因素。它们可用于多种用途,通常用来捕捉、处理、存储和传输敏感数据(商业机密信息、HR数据、财务信息等)。

通过web应用程序访问的数据的重要程度增加了它们成为攻击目标的可能性,因此强烈建议定期开展评估。

我们的团队采用自动和手动测试相结合的综合法来对外部和内部web应用程序进行评估,先网络犯罪人员一步识别漏洞。我们的评估服务还包括利用阶段,这样可以让客户更直观地了解每个漏洞将带来怎样的风险。

我们的服务由在防御和攻击方面有着丰富经验的网络安全分析师和渗透测试工程师提供。

Web应用程序渗透测试

Web应用渗透测试会测试什么?

注入式攻击

用户在执行命令或查询时向web应用程序提交数据,这时就会发生基于网络的威胁,比如SQL注入、OS命令注入和LDAP注入。攻击者的恶意有效负荷会欺骗web应用程序执行计划外命令或者未经正确授权的情况下访问数据。

跨站点脚本攻击(XSS)

若web应用在未经适当验证和转义的情况下接受用户通过网页提交的数据就可能会引发XSS攻击。攻击者可以利用跨站点脚本在用户浏览器上执行脚本,从而劫持用户会话,破坏网站,或者将用于重新指向恶意站点。

失效的身份验证

应用的身份验证和会话管理功能经常配置不当,攻击者可以借此损坏密码、秘钥或会话令牌,或者利用其它漏洞暂时性或永久性假冒其他用户身份。

敏感信息泄露

许多web应用和应用程序接口(API)无法对敏感数据实施适当保护,比如信用卡号码、用户凭证和患者信息。攻击者可以窃取或修改这种未加强保护的数据,进而开展信用卡诈骗、身份盗用或实施其他犯罪行为。

XML外部实体注入漏洞(XXE)

采用版本较低、配置较低的XML处理器对XML文件内外部实体引用进行评估。外部实体可借助文件URI处理程序、内部文件共享、内部端口扫描、远程代码执行和拒绝服务攻击泄露内部文件。

失效的访问控制

通常认证用户权限要求的执行力度不足。攻击者利用这些漏洞访问未授权功能及/或数据,比如访问其他用户账号,查看敏感文件,修改其他用户的数据,更改访问权限等。

安全配置错误

这个问题的常见原因包括不安全的默认配置、不完整或临时性配置、开放式云存储、HTTP头字段错配及含有敏感信息的详细错误信息。除了安全配置操作系统、框架、数据库和应用外,还应该及时打补丁和更新。

使用含有已知漏洞的组件

运行组件(数据库、框架和其他软件模块)跟应用具有相同的权限要求。若攻击者利用了存在漏洞的组件,这类攻击会导致数据损失或远程接管服务器等重大事故。使用含有已知漏洞的组件的应用和API可能会破坏应用防御机制,启动攻击,并产生特定影响。

我们的web应用渗透测试本身就是一项对网络服务器上运行的所有服务开展综合网络测试的服务。
若web应用程序配置了支持访问Android和iOS移动应用的API或web服务,我们的web应用渗透测试就可以结合移动应用安全评估,端到端全面验证您的安全状态。


web应用测试方法

威联科技可对web应用开展以下形式的web应用渗透测试:

web应用黑盒渗透测试

黑盒测试是在不了解待测试系统内部工作原理、源代码和系统架构的前提下对系统展开测试的方法。这种测试方法可以更真实地模仿攻击者,了解他们一般如何对应用发起攻击。但是,由于不了解内部应用工作原理,所以缺陷及/或漏洞检测比较费时费力,并且不会完全了解应用的安全状况。


Web应用灰盒渗透测试

灰盒测试是在对系统内部工作原理有一定认识的前提下对系统开展测试的方法。这里对内部工作原理的了解通常也只限于应用的URL及与用户职位相对应的用户凭证。灰盒测试可以基于对目标系统的预先了解理清各项工作的轻重主次,做好工作规划。加深对系统可以让检测工作事半功倍,在大幅减少工作量的同时识别出更多重大漏洞,并且可以让分析工程师更近距离地分析理解攻击者在应用评估方面相比安全专业人员具有的优势。渗透测试工程师可以通过注册测试对web应用程序进行全面评估,检测是否存在潜在漏洞。此外,测试工程师在这个阶段要检查是否存在可能导致纵向和横向提权的应用权限弱点。


web应用白盒渗透测试

白盒测试是在对目标系统全面了解的情况下开展测试的方法。威联科技的白盒渗透测试服务由灰盒测试+安全代码审核构成。这类评估可以对应用及基础架构的安全状态有全面的了解。


渗透测试方法

我们的渗透测试方法是依托OWASP测试指南和开源安全测试方法手册(OSSTMM)设计形成的一套方案流程:

Web应用程序渗透测试

通过我们的服务您可以获得什么?

最终报告中将阐述各项评估结果,并根据IT和网络安全国际标准对优点/缺点进行对比。我们会对识别的弱点进行评估,同时提出相应的建议和补救措施,并根据相关风险等级进行排序。向客户口头汇报评估结果时,双方将对最终报告进行讨论。报告将对已开展的安全审计或渗透测试工作做一个全面透彻的总结。此外,报告还将详细阐述评估结果,并基于此展开相应论述并提出建议,以便进一步完善安全管理措施。

Web应用程序渗透测试

安全和渗透测试证书

威联科技安全顾问和渗透测试工程师都拥有网络安全和渗透测试领域最具含金量的证书,比如:CREST CRT、SANS/GIAC GXPN、GPEN、 GWAPT、GCIH、GMOB、OSCP、CEH、CISSP、CISA等!

Web应用程序渗透测试

更多证书,请点击