无论您拥有处理用户支付详细信息的电子商务应用程序,还是维护和传输患者数据的医疗保健应用程序,渗透测试都可能是确保应用程序安全的重要步骤。如今,大多数企业主和安全部门都面临压力,要求他们展示安全计划投资的投资回报率,并从预算中获得更多收益。根据我们为广大客户提供Web应用程序渗透测试服务的经验,公司通常可以从Web应用程序渗透测试预算中获得更好的价值。我们汇集了渗透测试最佳实践,可以帮助您证明物有所值。
Web应用程序渗透测试最佳实践
1.准备Pen测试环境
应在生产环境中执行Web应用渗透测试。在直接在生产环境中进行测试时,您应该为渗透测试仪设置一定的限制。此外,以不会减慢您的组织和客户的网络响应时间的方式安排测试。最重要的限制是不要对生产运行 DoS 攻击。如果您的渗透测试无法在生产环境中进行,请准备一个与生产环境相同的环境,并为渗透测试人员生成用户帐户。
2. 建立攻击者角色
为了获得更好的结果,必须切实执行基于Web的渗透测试。在进行测试时,您应该设身处地为攻击者设身处地。您必须像真正的网络攻击者一样思考和行动,具备一套先进的动机、目标和技能。动机是构建黑客角色的重要因素。商业或金钱优势、前商业伙伴的报复、文化或宗教意识形态以及同行的认可是很少有可能的动机。根据您应该关注的角色对角色进行排名。以这种方式描绘攻击者可以帮助您缩小注意力范围,并帮助您为真正的攻击做好准备。
3. 明确设置测试边界
每个人都应该记住的一件事是,网络应用程序渗透测试只是一种模拟,而不是真正的攻击。因此,应概述测试边界以……
- 谁将执行测试?
- 何时进行测试
- 什么是允许的,什么是不能做的
- 向谁发送所有报告和通讯
4. 定义Web渗透测试方法
在渗透测试最佳实践方面,渗透测试方法是一个必不可少的步骤,适用于外部和内部渗透测试人员。测试方法是一组安全指南,您的Web渗透测试应基于这些指南进行。确保测试符合行业标准安全框架,并包括自动和手动高级测试。
一些重要的安全测试方法和标准:
- 开放Web应用程序安全项目 ( OWASP )
- 渗透测试框架 (PTF)
- 开源安全测试方法手册 (OSSTMM)
- 信息系统安全评估框架 (ISSAF)
- 支付卡行业数据安全标准 (PCI_DSS)
5.之前启动安全监视器
如果您真的不想浪费宝贵的渗透测试时间,最好的做法是实施安全扫描器或监视器。如果您有适当的Web应用程序监控来检测您的基本问题和漏洞,渗透测试人员就无需花费精力来发现这些问题。
6.渗透测试环境冻结开发
渗透测试的最佳实践是测试整个应用程序,而不是其中的各个部分。笔测试将检测给定设置中的漏洞。如果您通过添加新补丁或程序包或修改硬件组件来更改该设置,您将无法获得有效的渗透测试结果。同样,不建议在测试时解决问题,尽管这在某些情况下至关重要。当一个稳定的应用程序被测试时,您将获得更权威的结果,并获得更多的金钱价值。
7.选择合适的渗透测试工具
市场上有很多渗透测试工具——有些可以免费下载和使用,有些是供应商提供的。选择正确的工具主要取决于您使用的渗透测试环境。
8. 在内部测试人员和外部笔测试服务之间做出选择
如果内部渗透测试人员具备相关技能,您可以从他们那里获得很多优势。除了节省成本外,内部团队更熟悉您的应用程序。但是,最好选择专门的外部Web应用程序渗透测试专业人员,以利用更多的专业知识和开箱即用的观点。它还确保了基于Web的渗透测试的组织独立性,这不仅确保了意见分歧的最佳实践,而且符合 PCI 合规性的需要。
总结
Web应用程序渗透测试通过为您提供有关黑客可以看到的内容的宝贵见解来加强您的安全立场。您的企业必须每年进行一次或两次网络渗透测试,并在发生重大变化时进行。通过遵循这些Web渗透测试最佳实践,您更有可能利用这个机会朝着正确的方向大放异彩!