渗透测试广泛用于补充 Web 应用程序安全上下文中的 Web 应用程序防火墙 (WAF)。 渗透测试,也称为笔测试,模拟对您的计算机系统的网络攻击,以识别可利用的缺陷。 然后,渗透测试结果可用于微调您的 WAF 安全策略并解决发现的漏洞。 以下是您需要了解的有关渗透测试的所有信息,包括各种类型和方法。
什么是渗透测试?
渗透测试(笔测试)是对计算机系统进行法律认可的模拟攻击,以评估其安全性。 渗透测试人员使用与攻击者相同的工具、策略和流程来识别和显示系统缺陷的商业影响。 渗透测试通常会复制许多可能危及公司的攻击。 他们可以确定系统是否足够强大以抵御来自经过身份验证和未经身份验证的位置以及来自各种系统角色的攻击。 渗透测试可以进入具有正确范围的系统的任何方面。
渗透测试有什么优势?
理想情况下,软件和系统的开发从一开始就以消除潜在危险的安全问题为目标。 渗透测试提供有关该目标实现情况的信息。 以下是笔测试如何对公司有益。
- 识别系统缺陷
- 确定控件的稳健性。
- 协助遵守数据隐私和安全法规(例如 PCI DSS、HIPAA 和 GDPR)。
- 为管理层提供现有安全态势和预算优先级的定性和定量证据。
笔测试的阶段是什么?
渗透测试人员充当有动机的对手来模仿攻击。 他们通常遵循涉及以下步骤的计划:
#1。 侦察。
为了指导攻击方法,从公共和私人来源收集尽可能多的目标信息。 互联网搜索、域名注册信息检索、社会工程、非侵入式网络扫描,偶尔还会查找垃圾箱,这些都是来源。 此数据可帮助渗透测试人员绘制出目标的攻击面和潜在漏洞。 侦察因渗透测试的范围和目的而异; 它可能就像打电话一样基本,以了解系统的功能。
#2. 扫描
渗透测试人员利用工具来查找目标网站或系统中的缺陷,例如开放服务、应用程序安全问题和开源漏洞。 渗透测试人员根据他们在侦察和测试期间发现的内容使用一系列工具。
#3。 获取入口。
攻击者的动机可能多种多样,从窃取、修改或破坏数据到转移资金或只是损害公司的声誉。 渗透测试人员决定使用哪些工具和策略来访问系统,无论是通过 SQL 注入等缺陷还是通过恶意软件、社会工程或其他方式。
#4。 保持访问畅通
一旦渗透测试人员获得了对目标的访问权限,他们的模拟攻击必须保持连接足够长的时间才能实现他们的数据泄露、修改或滥用功能的目标。 有必要证明可能的影响。
渗透测试类型
在决定提供者之前,了解可访问的渗透测试的多种类型至关重要,因为参与的重点、深度和持续时间各不相同。 以下是常见的道德黑客活动的示例:
#1。 内部和外部基础设施的渗透测试
对本地和云网络基础设施的评估,包括防火墙、系统主机以及路由器和交换机等设备。 可能会使用专注于业务网络内资产的内部渗透测试,或专注于面向互联网的基础设施的外部渗透测试。 要确定测试范围,您必须知道要检查的内部和外部 IP 的数量、网络子网的大小以及站点的数量。
#2。 无线渗透测试
明确针对组织的 WLAN 以及蓝牙、ZigBee 和 Z-Wave 等无线协议的 WLAN(无线局域网)测试。 帮助检测流氓接入点、加密漏洞和 WPA 漏洞。 测试人员需要知道要评估的无线和访客网络的数量、位置以及唯一的 SSID,以便确定参与范围。
#3。 Web 应用程序测试
检查通过 Internet 分发的网站和自定义程序,以确定可能被恶意利用的编码、设计和开发缺陷。 在联系测试提供商之前,确定需要测试的应用程序数量,以及必须评估的静态页面、动态站点和输入字段的数量。
#4。 移动应用程序测试
在 Android 和 iOS 等平台上进行移动应用程序测试,以发现身份验证、授权、数据泄露和会话处理漏洞。 要确定测试范围,供应商必须了解他们希望评估应用程序的操作系统和版本、API 调用的数量以及越狱和根检测的先决条件。
#5。 审查构建和配置
检查网络构建和配置是否存在 Web 和应用程序服务器、路由器和防火墙上的错误。 要测试的构建、操作系统和应用程序服务器的数量是确定此类参与范围的关键信息。
#6。 社会工程学
评估您的系统和人员识别和响应电子邮件网络钓鱼企图的能力。 定制的网络钓鱼、鱼叉式网络钓鱼和商业电子邮件妥协 (BEC) 攻击提供了对潜在危险的详细洞察。
#7。 云渗透测试
自定义云安全评估可以通过识别和解决云和混合环境中可能暴露重要资产的漏洞,帮助您的组织克服共同责任的困难。
#8。 敏捷环境中的渗透测试
持续的、以开发人员为中心的安全评估旨在检测和纠正开发周期中的安全漏洞。 这种敏捷方法有助于确保每个产品版本,无论是简单的错误修复还是大型功能,都经过了全面的安全测试。
渗透测试方法
#1。 外部评估
外部渗透测试针对公司的互联网可见资产,例如 Web 应用程序本身、公司网站、电子邮件和域名服务器 (DNS)。 目标是获取访问权限并提取有用的信息。
#2。 内部评估
在内部测试中,可以访问公司防火墙后面的应用程序的测试人员模拟恶意内部攻击。 这并不总是模仿叛逆的员工。 一个常见的起点是一名员工,其凭据是通过网络钓鱼尝试获得的。
#3。 盲测
在盲测中,仅向测试人员提供目标组织的名称。 这为安全人员提供了实际应用程序攻击可能如何发生的实时视图。
#4。 双盲测试
双盲测试中的安全人员没有模拟攻击的先验信息。 他们将没有时间在企图突破之前支撑他们的防御工事,就像在现实世界中一样。
#5。 有针对性的测试
在这种情况下,测试人员和安全人员协作,并让彼此了解他们的行动。 这是一项出色的培训练习,可以从黑客的角度为安全团队提供实时反馈。
渗透测试仪的作用是什么?
与其他计算机科学专家不同,渗透测试人员专注于网络安全的特定方面。 他们通过在攻击发生之前检测系统缺陷来帮助保护其企业的数字信息,这一过程称为漏洞测试。
渗透测试人员可以使他们的组织免受重大数据泄露带来的财务和公众信任损害。 为了发现潜在的缺陷并避免未来的攻击,这些专业人员像危险的黑客一样思考。
渗透测试人员经常受雇于网络安全或信息技术 (IT) 团队。 黑客工具、编码和脚本的经验,以及对漏洞和操作系统的全面了解,都是重要的渗透测试能力。
渗透测试人员受益于强大的沟通、人际关系和报告撰写技能。
渗透测试员能赚多少钱?
渗透测试人员可以赚很多钱。 根据 Payscale 的数据,2021 年 87,440 月渗透测试人员的平均薪酬为 2020 美元。 这一数额远高于 BLS 41,950 年 XNUMX 月全国所有工作岗位工资中位数 XNUMX 美元。
入门级渗透测试人员的收入低于经验丰富的专业人士。 薪酬因教育而异,更高级别的渗透测试人员通常收入更高。 地点、行业和专业领域都是影响薪酬的因素。
基于经验的渗透测试员的薪水
渗透测试员的薪水范围因经验水平而异。 拥有 20 年经验的渗透测试人员的平均年薪为 124,610 美元,比入门级员工的平均薪酬高出约 57,000 美元。
仅仅拥有 1-4 年的经验就可以显着提高渗透测试人员的收入,从入门级渗透测试人员的 67,950 美元到早期职业专家的 81,230 美元。
基于教育的渗透测试员的薪水
渗透测试人员的薪水通常随着学位水平的提高而增加。 例如,从信息安全学士学位转到硕士学位可以使平均工资每年提高 19,000 美元。
通过评估潜在的更高工资与获得另一个学位所需的时间和金钱来考虑额外教育的好处和缺点。 认证和训练营是更便宜的可能性。
渗透测试学术课程通常提供计算机科学、网络安全或信息安全方面的学位。
按位置划分的渗透测试员的薪水
除了教育和经验,你住在哪里也会影响你的薪酬。 渗透测试人员的收入会受到就业需求、生活成本和人口密度等因素的影响。 考虑生活成本低于平均水平的高薪地区的职业,以优化收入潜力。
渗透测试人员有多少访问权限?
根据笔测试的目标,向测试人员提供有关目标系统或访问目标系统的不同程度的信息。 在某些情况下,渗透测试团队从一种策略开始并一直沿用它。 有时,测试团队的策略会随着渗透测试期间对系统的理解的增长而发展。 渗透测试访问分为三个级别。
- 不透明的盒子。 该团队不了解目标系统的内部结构。 它的行为类似于黑客,探索任何外部可利用的缺陷。
- 半透明盒子。 工作人员熟悉一套或多套证书。 它还了解目标的核心数据结构、代码和算法。 渗透测试人员可以根据大量的设计文档构建测试用例,例如目标系统的架构图。
- 透明盒子。 渗透测试人员可以访问系统和系统工件,例如源代码、二进制文件、容器,在某些情况下,还可以访问运行系统的服务器。 此方法可在最短时间内提供最高级别的保证。
什么是渗透测试工具?
渗透测试工具用作渗透测试(渗透测试)的一部分,以自动化特定流程、提高测试速度并发现仅使用手动分析技术难以发现的缺陷。 静态分析工具和动态分析工具是两种渗透测试工具。
渗透测试工具有哪些类型?
没有一种万能的渗透测试工具。 相反,不同的目标需要不同的工具集来进行端口扫描、应用程序扫描、Wi-Fi 入侵和直接网络渗透。 笔测试工具大致分为五组。
- 用于定位网络主机和开放端口的侦察软件
- 网络服务、Web 应用程序和 API 中的漏洞扫描器
- 可以使用代理工具,例如专门的 Web 代理或通用的中间人代理。
- 开发工具用于获得系统立足点或访问资产。
- 用于与系统互动、保留和增加访问权限以及实现攻击目标的开发后工具
渗透测试与自动化测试的区别是什么?
渗透测试人员使用自动扫描和测试工具,尽管渗透测试在很大程度上是一项手动工作。 他们还超越了工具,利用他们对当前攻击策略的理解,提供比漏洞评估(即自动测试)更深入的测试。
手动笔测试
手动笔测试识别未包含在流行列表(例如,OWASP 前 10 名)中的漏洞和弱点,并评估自动化测试可能忽略的业务逻辑(例如,数据验证、完整性检查)。 手动渗透测试还可以帮助识别自动测试提供的误报。 渗透测试人员可以检查数据以针对他们的攻击和测试系统和网站,其方式是遵循预定义例程的自动化测试解决方案无法做到的,因为他们是像对手一样思考的专业人士。
自动化测试
与完全手动的笔测试方法相比,自动化测试可以更快地产生结果,并且需要更少的合格人员。 自动化测试程序会自动跟踪结果,有时可以将结果导出到集中报告平台。 此外,手动渗透测试的结果可能因测试而异,但在同一系统上进行自动测试会反复产生相同的结果。
笔测试的优点和缺点是什么?
随着安全漏洞的数量和严重程度逐年增加,企业比以往任何时候都更需要了解他们如何抵御攻击。 PCI DSS 和 HIPAA 等法规需要定期渗透测试以确保合规性。 考虑到这些限制,下面是这种缺陷检测技术的一些优点和缺点。
渗透测试的优势
- 上游安全保证方法,如自动化工具、配置和编码标准、架构分析和其他轻量级漏洞评估任务,已被证明存在缺陷。
- 查找已知和未知的软件故障和安全漏洞,包括可能本身不会引起太大关注但可能作为更大攻击模式的一部分造成严重危害的小问题。
- 可以通过模拟大多数敌对黑客的行为来攻击任何系统,尽可能模拟真实世界的敌人。
笔测试的缺点
- 是劳动密集型和昂贵的
- 不能完全防止错误和缺陷进入生产环境。
常用的两种渗透测试是什么?
两种最普遍的渗透测试类型是自动的和手动的。
我们为什么要使用渗透测试?
渗透测试的目标是帮助企业确定他们最容易受到攻击的地方,并在黑客利用它们之前主动解决这些漏洞。
总结一下,
渗透测试(笔测试)是对计算机系统进行法律认可的模拟攻击,以评估其安全性。 笔测试提供了有关可被利用的现实世界安全威胁的广泛信息。 通过进行渗透测试,您可以确定哪些漏洞是严重的,哪些是次要的,哪些是误报。
相关文章
参考资料
