?在當前數字化環境中，IT的一個里程碑式增長便是公司組織和企業數字化。為了擴大市場范圍和方便業務，許多組織都在轉向互聯網。這導致了一股新的商業浪潮，它創造了網絡空間中的商業環境。通過這種方式，公司和客戶的官方或機密文件都可以上傳到互聯網上，方便用戶隨時訪問。

通常情況下，網站會受到保護而免遭黑客攻擊，但保存、保護機密文件和知識產權仍需要強大的安全保障。這種安全保障是為了抵御來自黑客的網絡攻擊或網暴。在這種情況下，Web滲透測試是安全專業人員用來防止此類網絡入侵的最佳工具之一。

1.什么是網絡滲透測試？

滲透測試是針對計算機系統進行的一種模擬網絡攻擊，目的是為了尋找可能被利用的漏洞。這是一項自我評估測試，用于評估計算機系統和網絡中可被利用的漏洞。

網絡滲透測試是一種網絡評估工具，被網絡安全專業人員用來評估現有網絡安全工具的完整性和有效性。這是一項對現有網絡安全實施構成威脅的風險因素所進行的詳細安全評估。通過對公司的數字資源和網絡進行分析和掃描，網絡滲透測試能夠檢測出任何存在的漏洞。一旦發現漏洞，就會對其進行檢查，以確定黑客是否可以通過滲透測試利用這些漏洞。

Web滲透測試針對的是基于Web的客戶端應用程序，它涵蓋了當今企業組織使用的大多數應用程序。由于Web應用程序的廣泛使用，Web滲透測試是任何網絡安全解決方案的關鍵組成部分。這是因為這些基于網絡的應用程序可以讓黑客訪問個人身份信息（PII）—知識產權、受保護的健康信息，以及不想被訪問的保密網絡和資源。這使得對基于網絡的客戶應用程序受到攻擊的威脅變得非常嚴重。

由于基于Web的應用程序越來越容易受到外部攻擊，所以經常對網絡安全的實施進行評估非常重要。組織如何對一次成功滲透做出的反應，可以發現運營層面和組織架構層面上的缺陷，而這些缺陷在受到攻擊前就能得到修復。

2.網絡滲透測試基礎

Web滲透測試的方法和工具有很多種。網絡安全專家偶爾會在沙箱環境中的服務器上使用黑客隨手可用的間諜軟件。有時，專家可能會對當前活躍系統進行滲透測試，以評估其普遍存在的弱點。由于可以使用的方法范圍廣泛，所以很難簡化Web滲透測試的流程。以下是三種類型的網絡滲透：

（1）黑盒測試

這種滲透測試發生在網絡安全專家和測試人員對目標事先不了解的情況下。在滲透測試過程中，測試人員要了解目標，評估系統和應用程序，找出缺陷并嘗試利用這些缺陷。這種黑盒測試的優勢在于能夠精確模擬網絡攻擊過程。測試人員必須像一個不懷好意的參與者那樣與目標戰斗，并透露重要信息。黑盒滲透測試有一個缺點，那就是需要花費大量的時間和精力。黑盒測試比其他測試范圍更廣，但它的缺點是耗時費力。

（2）白盒測試

在白盒測試中，專家事先了解公司的網絡狀況和弱點。與黑盒測試相比，白盒測試更為常見，用于檢查特定的缺陷所帶來的風險。白盒測試不像黑盒測試那樣費勁，因為測試人員被授權訪問目標系統的可用信息。白盒測試的一個優勢是它們能夠集中并能準確地檢測出漏洞。

（3）灰盒測試

就如黑白組合會產生灰色一樣，灰盒測試結合了黑盒和白盒測試。這里，滲透專家通常對目標有一些了解，但沒有獲得白盒測試那樣詳細的信息。在滲透測試開始之前，公司可能會提供基本的信息，這些信息通常也可以被黑客獲得。每種測試方法針對的是基于客戶和安全審核員的不同功能，相比較而言，黑盒測試是模擬真實的黑客攻擊，它可以提供有關公司漏洞如何在外部被評估和利用的重要信息；白盒測試非常徹底，可以用來滲透測試所有客戶端的Web程序。

3.網絡滲透測試方法

正如滲透測試的方式不同，為評估系統而部署這些測試的方法也不同。這就是為什么確定所有人使用的通用滲透測試方法具有挑戰性。相反，一般的Web滲透方法可以描述部署Web滲透測試的步驟。

這些方法包括偵查、掃描、漏洞評估、漏洞評估和訪問、維護與報告。

（1）偵查

網絡滲透測試一般是以偵查為起點，在偵查過程中，測試人員對目標了解地越多越好。這包括公司運營、系統和組織結構的詳細情況。具體而言，需要收集網絡拓撲、用戶帳戶、操作系統和應用程序等信息以及其他相關數據。這些信息可以對潛在攻擊途徑提供預見性洞察。

在網絡滲透測試類型（如白盒滲透測試）中，偵查可能受到限制甚至完全忽略，通常在部署時充分了解目標和與所有與測試本身有關的數據。在黑盒滲透測試中，偵查階段通常比較繁瑣和耗時，因為它可能需要大量的信息收集方法，包括社會工程學。

偵查可以采用主動偵查或被動偵查。如果是通過對目標系統進行攻擊而收集到的信息，這類信息普通公眾無法獲得，則是主動偵查；如果收集到的信息是對公眾已經公開過的，則為被動偵查。

（2）掃描

掃描階段是獲取目標系統信息后的下一步。掃描過程包括檢查目標是否存在漏洞。使用不同的工具和策略，實現這一點方法很多。這一階段的目的是識別任何可能讓測試人員輕易訪問系統或數據的漏洞。

一般情況下，所有開放端口都會被識別并檢查，因為開放端口是黑客侵入系統的入口。漏洞掃描還可以作為全面安全評估的一部分，其目的是一樣的：揭露任何弱點。但在滲透測試前，它將不會顯示漏洞造成的威脅。

（3）漏洞評估

這一階段與掃描階段類似，但會做更多的工作。在這里，所有偵查和掃描階段收集到的數據會被用來檢測潛在的漏洞，并檢查黑客是否可以利用這些漏洞。該階段的評估在與其他滲透測試階段合并時尤為重要。

（4）開發利用

當系統中的缺陷被評估之后，測試人員會嘗試通過漏洞訪問系統或者數據，這被稱為開發利用階段。這些漏洞通常是由于沒有足夠的補丁管理或者軟件過時而導致的，這使得黑客可以無縫訪問敏感系統。通過集中攻擊服務器漏洞，測試人員嘗試使用工具訪問互聯網應用或者機密數據，以模擬真實的攻擊。

利用漏洞是非常微妙的，因為會繞開系統的安保機制，所以測試人員必須小心不讓系統受到破壞。這一階段不應局限于單一的攻擊策略或方法。由于許多應用程序、網絡和設備都連接在互聯網中，所以開發利用階段采用了許多不同的方法和技術。

（5）訪問、維護和報告

在模擬攻擊漏洞之后，發布詳細報告之前維護訪問權限是Web滲透測試的最后一步。滲透測試人員可能會評估他們是否能夠在一段時間內訪問重要數據或系統而不被發現。在這一階段，測試人員可以嘗試增加系統的訪問權限，以便訪問附加的系統或數據；這將有助于更廣泛地評估。本階段提供安全響應、訪問控制流程、系統恢復能力等重要信息。

在完成所有階段之后，測試人員要撰寫一份記錄滲透測試過程和結果的報告。詳細報告包括技術風險和影響評估，補救措施和專業建議。然后用它作為指導來改進系統安全體系結構。

4.網絡滲透測試的好處

• 防御網絡攻擊
• 預防代價高昂的安全事件
• 遵守法律法規
• 有助于理解網絡防御的潛力
• 拿走競爭對手的談判籌碼
• 讓網絡安全專業人員了解最新趨勢和技術

5.結論    

對于依賴于 IT相關產品和解決方案的許多組織和企業來說，系統不安全是一個巨大的隱患。

如果每個滲透測試都采用不同的方式，那么它的部署方法盡可能考慮全面。測試的深度和廣度取決于所想達成的滲透目的。一般而言，我們的目的就是找出可以利用的漏洞并解決這些漏洞，從而防止網絡攻擊。

原文鏈接：https://hackernoon.com/the-importance-of-web-penetration-testing

譯者介紹

劉濤，51CTO社區編輯，某大型央企系統上線檢測管控負責人，主要職責為嚴格審核系統上線驗收所做的漏掃、滲透測試以及基線檢查等多項檢測工作，擁有多年網絡安全管理經驗，多年PHP及Web開發和防御經驗，Linux使用及管理經驗，擁有豐富的代碼審計、網絡安全測試和威脅挖掘經驗。精通Kali下SQL審計、SQLMAP自動化探測、XSS審計、Metasploit審計、CSRF審計、webshell審計、maltego審計等技術。?