該怎么學web滲透？

時間：2022-06-03點擊次數：1116

先了解一下為什么需要滲透

當我們談論安全時，我們較常聽到的詞是漏洞。

當我第一次開始做安全員時，我經常對漏洞這個詞感到困惑，我相信你們中的許多人和我的讀者都會陷入困境。

為了所有讀者的利益，我將首先澄清漏洞與筆試的區別。

那么，什么是漏洞呢？漏洞是用來識別系統中可能受到安全威脅的缺陷的術語。

漏洞掃描

漏洞掃描使用戶能夠找出應用程序中已知的弱點，并定義修復和提高應用程序整體安全性的方法。它基本上可以確定安全補丁是否安裝，系統是否正確配置，使攻擊困難。

Pen Tests主要模擬實時系統，幫助用戶找出未經授權的用戶是否可以訪問該系統。如果可能的話，可能會對數據造成什么損壞和損壞。

因此，漏洞掃描是一種調查控制方法，提出了改進安全程序、確保已知漏洞不再出現的方法，筆試是一種預防性控制方法，可以提供系統現有安全層的整體視圖。

盡管這兩種方法都很重要，但這取決于中實際預期的內容。

作為人員，的目的必須在進入前明確。如果目標明確，可以很好地定義是否需要進行漏洞掃描或筆試。

重要性和對Web App Pen要求：

Pentest幫助識別未知漏洞。幫助檢查整體安全策略的有效性。幫助防火墻、路由器、路由器等開放部件DNS。讓用戶找出較容易受到攻擊的路徑，幫助發現敏感數據被盜的漏洞。

如果您查看當前的市場需求，移動設備的使用量將急劇增加，這正成為攻擊的主要潛力。通過移動訪問網站更容易受到更頻繁的攻擊，從而損害數據。

因此，滲透擔心黑客入侵或數據丟失的情況下，滲透對建一個安全的系統是非常重要的。

網絡滲透方法

該方法只是一套關于如何的安全行業標準。有一些公認的方法和標準可以用于，但因為每一個Web應用程序需要進行不同類型的，因此人員可以市場上可用的標準來創建自己的方法。

一些安全方法和標準–

OWASP（開放式Web應用程序安全項目)OSSTMM(開源安全方法手冊)PTF(滲透試驗框架)ISSAF(信息系統安全評估框架)href="https:// .pcisecuritystandards.org/pci_security/">PCI DSS(支付卡行業數據安全標準)

方案：

下面列出的一些方案可以用作Web應用程序滲透（WAPT）的一部分:

跨站腳本SQL注入身份驗證和會話管理中斷文件上傳缺陷緩存服務器攻擊安全錯誤配置跨站請求偽造密碼破解

即使我已經提到了清單，人員也不應該根據上述常規標準盲目創建方法。

這是一個證明我為什么這么說的例子。

考慮是否可以使用電子商務網站進行滲透OWASP常規方法(如XSS，SQL注入等。)識別電子商務網站的所有漏洞。

答案是否定的，因為與其他網站相比，電子商務在不同的平臺和技術上工作。為了使您對電子商務網站的筆試有效，人員應設計一種方法，如訂單管理、優惠券和獎勵管理、支付集成和內容管理系統集成等缺陷。

因此，在決定使用哪種方法之前，請確定哪種類型的網站和哪種方法將有助于找到較大的漏洞。

Web滲透試驗類型

Web滲透可以通過兩種方式進行。可設計為模擬內部或外部攻擊。

#1)內部滲透試驗–

顧名思義，內部筆試在組織內部通過LAN因此，它包括內部在線托管Web應用程序。

防火墻內是否可能存在漏洞。

我們一直認為攻擊只能發生在外部，而且經常發生在內部Pentest被忽視或不太重視。

基本上，它包括惡意員工攻擊不滿意的員工或承包商，他們辭職，但知道內部安全策略和密碼，社會工程攻擊，模擬網絡釣魚攻擊，攻擊使用戶特權或濫用未鎖定的終端。

主要是在沒有適當憑證的情況下訪問環境，確定是否存在

#2) 外部滲透試驗–

這些是從組織外部進行的外部攻擊，包括Internet上托管的Web應用程序。

人員的行為就像對內部系統了解不多的黑客。

為了模擬此類攻擊，人員將獲得目標系統IP，沒有其他信息。他們需要搜索和掃描公共網頁，找到我們的目標主機，然后破壞我們找到的主機。

基本上，它包括服務器、防火墻和IDS。

網筆方法：

可分三個階段進行：

#1)規劃階段(前)

在開始之前，建議您計劃執行類型、執行方法、質量檢驗是否需要任何其他訪問權限等。

范圍定義–和我們的功能一樣，在功能中，我們在開始之前定義了范圍。人員可以使用的文檔–確保人員擁有所有必需的文檔，例如詳細說明Web系統結構，集成點，Web服務集成等文件。人員應了解HTTP / HTTPS協議的基本知識，Web應用程序系統結構，流量攔截方法。確定成功標準–與我們的功能用例不同，我們可以從用戶需求/功能需求中得到預期的結果，而筆則在不同的模型上進行。需要定義和批準成功標準或用例通過標準。查看以前的結果–如果進行了以前的，較好檢查結果，以了解過去的漏洞和需要采取的補救措施。這總是可以更好地顯示人員的情況。了解環境–人員應在開始前獲得環境知識。此步驟應確保他們了解防火墻或其他需要禁止的安全協議。瀏覽器應轉換為攻擊平臺，通常通過更改來完成。#2)攻擊/執行階段(期間):

鑒于Internet供應商不應限制端口和服務，因此可以在任何位置進行Web滲透。

確保以不同的用戶角色運行–人員應確保不同角色的用戶運行，因為該系統可能對具有不同特權的用戶表現出不同的行為。了解如何處理以后的使用-人員必須遵循階段1中定義的成功標準來報告任何使用，也必須遵循報告中發現的漏洞的定義過程。該步驟主要涉及人員在發現系統受到威脅后需要執行的操作。生成報告–沒有適當報告的任何對組織都沒有幫助，Web應用程序滲透也是如此。為確保結果與所有利益相關者正確共享，人員應創建適當的報告，詳細說明方法、嚴重性和發現問題的位置。

#3)實施后階段(后):

完成并與所有相關團隊共享報告后，所有人應使用以下列表–

建議采取補救措施–筆試不僅要通過識別漏洞來結束。相關團隊，包括質量檢驗人員，應審查檢驗人員報告的發現，然后討論補救措施。重新漏洞–采取補救措施并實施后，人員應重新，以確保固定的漏洞不會作為重新的一部分。–作為Pentest部分人員會更改設置，因此應清理并恢復所有更改。頂級滲透工具

現在，因為你讀了一篇完整的文章，我相信你現在正在如何以及如何滲透Web應用程序有更好的想法。

所以告訴我，我們可以手動進行滲透，還是總是使用工具自動進行滲透？毫無疑問，我認為你們大多數人都在談論自動化。

的確，自動化帶來了速度，避免了人為錯誤、出色的覆蓋率等好處，但是Pen Test它確實需要我們進行一些手動。

手動有助于發現與業務邏輯相關的漏洞，從而減少誤報。

工具容易產生許多誤報，因此需要人工干預來確定它們是否是真正的漏洞。

另請閱讀 – 如何使用Acunetix Web漏洞掃描程序（WVS）工具Web應用程序安全

創建工具，使我們的工作自動化。請在下面找到一些Pentest工具清單：

免費筆試工具Veracode維加打p套房NetSparker阿拉奇尼AcunetixZAP

更多工具也可以參考 – 37個強大的筆試工具適用于每個滲透儀