在当今自动化安全测试越来越流行执行测试用例的时代, 手动 Web 应用程序渗透测试仍然保持其相关性。识别自动测试可能无法检测到的错误可能很有用。原因是针对通用场景的自动化测试测试应用程序,而手动笔测试更针对特定应用程序进行定制。此外,由于需要人工干预的限制,一些攻击/漏洞无法通过自动化执行。
人类测试人员利用他们天生的智慧和判断力来分析漏洞并相应地进行手动检查。他们充当应用程序的最终用户,并在不同设备和操作系统的真实用户场景中对其进行测试。他们也像黑客一样思考并发动攻击以寻找潜在的安全漏洞。鉴于 全球68% 的企业领导者承认其组织中网络安全风险的增加,利用手动测试和自动测试来消除所有可能的威胁至关重要。
确保手动测试成功的第一步是确定测试覆盖范围。交钥匙测试应该是自动化的,人工测试应该用于需要创造力的测试用例,否则自动化可能不会产生正确的结果。
手动 Web 应用程序渗透测试需要以下步骤来确保过程的准确性。
- 确定渗透测试的范围和目标
- 收集表名、第三方插件详细信息、数据库、网络安全和其他一般信息。
- 发现和扫描可用于 Web 应用程序的服务和端口。
- 进行漏洞评估以确定潜在的安全威胁。
- 发起受控攻击以利用漏洞并了解需要采取哪些安全措施来防止风险。
- 为组织准备详细的测试报告。
手动测试可以通过以下方式帮助发现更多缺陷:
1.门禁管理
测试确定有关根据用户在组织中的角色给予用户的访问控制的身份验证和授权。测试人员创建跨不同角色的多个用户帐户,以检查分配给用户的权限或限制。
2. 服务器访问控制
该测试找出在组织的内部网络和外部网络上是否有任何开放的接入点。如果发现任何此类开放访问,测试人员还会检查来自不同设备的相同漏洞。
3. 密码管理
您是否知道 42% 的公司因密码不卫生而遭受网络破坏?密码泄露可能导致身份盗用或恶意活动。密码管理的手动应用程序渗透测试可以在很大程度上降低风险。测试人员通过使用不同组合破解用户密码来检查弱密码更改或重置。
4.会话管理
虽然会话管理控制减少了重复登录和注销会话的需要,但它很容易受到网络劫持。Web 应用程序的会话管理测试检查 cookie 和令牌在登录/注销后会话终止、计划生命周期或空闲时间方面是否足够安全。
5.SQL注入
去年,全球最大的图片网站之一 Freepik Company SL 报告说,由于 SQL 注入攻击,其 Freepick 和 Flaticon 平台的 830 万用户被盗。SQL 是最危险和最常见的 Web 应用程序漏洞之一。手动测试有助于检测黑客可用来注入恶意 SQL 命令的入口点。
6. 入口和出口入口点
入口点和出口点是指网络流量的方向。入口是进入网络边界的传入流量。出口则相反——它是从网络边界传出的流量。如果这两点的安全参数都不严密,黑客将大有可为。在手动 应用程序安全渗透测试中,敏感/机密数据在主机网络和未授权/受限网络之间传输以堵塞漏洞。手动渗透测试可以发现比上面提到的更多的缺陷。您要执行的测试用例的决定取决于 Web 应用程序的复杂性和您要评估的漏洞类型。
当您决定进行手动测试时,请确保与在该领域具有丰富经验和知识的安全顾问合作。它需要创造力和使用正确的手动渗透测试工具挖掘缺陷的能力 。Indusface 一直是 2000 多家全球客户值得信赖的渗透测试服务提供商。我们的测试服务专为全面扫描而设计——包括手动和自动扫描。您可以放心,在您的 Web 应用程序中,所有漏洞都不会未被发现。