Web 应用程序渗透测试及其工作原理 | Synopsys
目录

定义

Web 应用程序渗透测试是模拟对系统的攻击,试图访问敏感数据,目的是确定系统是否安全。这些攻击在系统内部或外部执行,它们有助于提供有关目标系统的信息,识别其中的漏洞,并发现可能真正危害系统的漏洞。它是系统的一项基本健康状况检查,用于通知测试人员是否需要采取补救和安全措施。

Web 应用程序渗透测试的优点是什么?

将 Web 应用程序渗透测试纳入安全计划有几个关键好处。

  • 它能帮助您满足合规性要求。一些行业明确要求进行渗透测试,而执行 Web 应用渗透测试有助于满足这一要求。
  • 它能帮助您评估基础设施。基础设施(如防火墙和 DNS 服务器)是面向公众的。对基础设施所做的任何更改都可能使系统变得易受攻击。Web 应用渗透测试有助于识别能够成功访问这些系统的真实攻击。
  • 它能识别漏洞。Web 应用渗透测试在攻击者之前识别应用程序漏洞或基础设施中易受攻击的路径。
  • 它有助于确认安全策略。Web 应用渗透测试能评估现有安全策略是否存在任何弱点。

如何对 Web 应用程序执行渗透测试?

对 Web 应用程序执行渗透测试有三个关键步骤。

  • 配置您的测试。在开始之前,确定测试项目的范围和目标非常重要。确定您的目标是满足合规性需求还是检查整体性能,这将指导您执行哪些测试。在您决定要测试的内容后,您应该收集执行测试所需的关键信息。这包括您的 Web 架构、API 等信息以及一般基础设施信息。
  • 执行测试。通常,您的测试将是模拟攻击,试图查看黑客是否能够真正访问应用程序。您可能运行的两种关键测试类型包括
    • 外部渗透测试,分析黑客可通过互联网访问的组件,如 Web 应用程序或网站
    • 内部渗透测试,模拟黑客访问防火墙后面的应用程序的场景
  • 分析您的测试。测试完成后,分析您的结果。应讨论漏洞和敏感数据暴露。分析后,可以实施所需的变更和改进。

哪些工具用于 Web 应用程序渗透测试?

可用于执行渗透测试的开源和商业工具。您还可以手动执行 Web 应用渗透测试。

Web 应用程序渗透测试 | Synopsys

Synopsys 如何提供帮助?

Synopsys 提供按需专业知识以帮助您管理风险。通过托管渗透测试服务,您可以执行探索研究性风险分析和业务逻辑测试,帮助您无需源代码,即可系统地查找和消除运行中的 Web 应用和 Web 服务的重大业务漏洞。


继续阅读

解决方案
托管渗透测试
博客
为什么渗透测试需要成为 IoT 安全的一部分
解决方案
AppSec 测试服务
博客
渗透测试:应用程序的年度体检
解决方案
威胁和风险评估
术语表
什么是渗透测试