如何更好地实施Web应用程序渗透测试?

企业越依赖网络通信和基于云的数据系统，就越容易遭受外部攻击者的攻击和破坏。在考虑Web应用程序的数据安全问题时，确立渗透测试方法变得日益重要。

在设计和捍卫安全系统时，如何确保这些系统正常运行?答案就在于构建一种渗透测试方法来保护信息资产。

什么是渗透测试

简言之，渗透测试就是为了确定Web应用中的漏洞程度而对企业的最佳防御系统进行测试并利用其漏洞的一种可控的网络攻击。

从实质上说，设计和实施渗透测试方法可以使企业：

1. 在获得授权的环境中主动地测试和攻击自己的系统，其重点是IT基础架构、操作系统漏洞、应用程序问题及用户和配置错误等。

2. 分析和查验系统防御以及用户是否遵循系统协议。

3. 评估可能的攻击源，如Web应用程序、无线网络、设备、服务器等。

任何数据都不可能完全安全。但有效的渗透测试方法可以极大地清除一些不必要的漏洞。

渗透测试的好处

有效的渗透测试方法可以确认扫描软件无法发现的漏洞，而且可以确定已有的网络防御系统如何适时地检测和响应攻击，确定一次成功攻击的危害程度，还可以确保遵循所有的数据安全合规协议。

认真对待渗透测试方法的另一个好处在于其对公司内部文化的潜在影响。企业的领导层展示出对数据安全的重视和要求，就会增强雇员对其重视的程度，后者也会尽最大努力遵循终端用户协议。

多长时间进行一次渗透测试?

企业应经常执行有效的渗透测试。为避免将来遭受攻击而丢失重要数据，安全管理者应积极地强化Web应用程序的防御。在计划渗透测试方法时，不妨考虑一下企业所属行业。并非每一家企业都有相同的安全需要，但公司有责任确保机密信息的安全性。

企业应经常部署渗透测试方法，尤其要注意：

1.有些行业的特定规范要求经常进行渗透测试。

2.对网络基础架构或Web应用程序进行的任何修改，其中可能涉及升级、更改、安全补丁、安装新软件或硬件、大修等。

3.策略变更。对于终端用户来说，问题尤其如此。策略的变更会影响到用户与Web应用交互的性质，从而带来新挑战。

4.企业迁移或增加新的办公场所。其中涉及通过ISP而不是通过企业的安全网络访问Web应用程序的远程雇员。

最后，在设计渗透测试方法时，保持谨慎很有必要。渗透测试的花费要远远小于数据泄露所造成的成本。

构建有效的渗透测试过程

在构建渗透测试方法时，必须记住渗透测试要求很多的信任。企业要找到一家既有经验又熟悉企业特定需要的供应商。

渗透测试实际上是要求供应商攻击企业的系统，所以应当建立一些基本要求：

范围：渗透测试针对的是企业的特定范围还是总体?哪些人和哪些不属于此范围?

时间表：在测试期间，企业仍要正常运行，所以确定在什么时间执行渗透测试非常重要。应将渗透测试的总体时间安排作为渗透测试方法的一个关键要素。

黑盒测试与白盒测试：在白盒测试中，渗透测试者可得到基本的实施测试的访问和信息，然后由此开始查找并利用漏洞的过程。在黑盒测试中，测试者就像是外部的攻击者一样实施攻击。

沟通：在测试涉及到的各方中建立沟通渠道是很重要的，因为沟通中出现的任何差错都可能导致各种不可预料的后果。

上述问题是渗透测试方法的基础，所以我们应谨慎考虑。

收集情报

在这个阶段，供应商开始实施初步攻击。如果计划得当，供应商就可以明确攻击什么和无法攻击什么。

如果供应商没有详细地调查关于企业、员工、资产、负债的信息，其工作就做得不够。花费在这个阶段的时间很重要也会很多。

威胁建模

在收集了相关资料后，下一步就是使用这些信息构建公司及资产的完整模型。然后，确定主要和次要的目标资产，并做进一步调查。

资产牵涉到很多要素，其中包括企业数据(例如，策略、过程、商业秘密)、雇员和客户数据、人员资产(可通过某种方式利用其弱点的高级雇员)等。在健全的渗透测试方法中，供应商不应偏向于其找到的某些资产，除非被要求这样做。供应商应努力确认价值最高的资产。

漏洞分析

在确立了目标资产后，供应商就会确定利用这些资产漏洞的最佳入口。良好的渗透测试方法可以对项目范围提供严格的指南，以确保满足客户所期望的结果。

有时，这种分析可以揭示所有的潜在漏洞。另外，供应商还会被要求针对特定的潜在问题进行渗透测试。彻底的渗透测试方法可以评估漏洞程度，其中包括漏洞水平及其可能暴露信息的敏感性。

漏洞利用及后续工作

渗透测试的下一步就是攻击了。正如真实的数据泄露一样，漏洞利用可以很快地实施和执行。

在供应商获得了系统的访问权之后，就会设法避免被检测，同时还要尝试“特权提升”策略，以获得更多的系统访问和其它的潜在资源。

在实现目标之后，渗透测试进行到漏洞利用的后期阶段，供应商会评估被攻击系统或入口点的价值，并决定是否可以进一步利用其漏洞。

报告

很明显，彻底的渗透测试在数据收集、数据分析、漏洞利用等方面需要花费大量的工作。但是，供应商该如何报告信息才能使企业将其转换为可行动的解决方案呢?

要求具体建议：高级的建议可能会提供企业Web应用的基本环境配置情况，但对于具体实施的人来说却没有太大用处。

风险等级：很明显，攻击越难实施和完成，真正的攻击者在实施时面临的困难就会越多。供应商应提供一份详细报告，指明其发现漏洞的风险等级，还要评估这些漏洞被利用后对企业产生的潜在影响。