十年来,企业看待 Web 应用程序的方式发生了巨大变化。仅限于开发后忘记的东西,现在是在全球范围内经营企业的强大力量。Web 应用程序带来了多重变化,尤其是在很大程度上依赖在线交易的行业。那么,它会改变整体安全前景吗?事实上,确实如此。
那么处理这两者的最佳方法是什么?您应该研究自动Web 应用程序扫描还是手动渗透测试?什么是测试最佳实践?企业必须蓬勃发展才能在竞争中保持领先地位,其中很大一部分包括通过频繁更改来增强用户体验和界面。当没有足够的时间和资源来测试这些应用程序时,问题就会开始浮出水面,尤其是那些可能导致服务器遭到破坏的漏洞。此外,还有一些特定于业务的缺陷会陷入逻辑悖论,并为黑客提供无意的破坏机会。
Web 应用程序测试问题
在您研究 Web 应用程序扫描之前,了解为什么保护应用程序如此重要是很重要的。随着为关键业务流程开发和使用的应用程序数量不断增加,它们也已成为黑客的主要目标。事实上,据估计,如今超过 75% 的违规行为发生在应用程序层。以下是您可能想要调查的一些主要威胁。
1. 已知漏洞
凭借数十年的工作和知识,来自 OWASP 和 WASC 的一群信息安全专家每年都会布置多个已知的应用程序漏洞,这些漏洞可被利用来破坏安全性。尽管这些漏洞列表并不详尽,但它们通常被称为开始保护应用程序的基础。
目前,根据各种应用程序安全专家的说法,注入缺陷位居漏洞列表之首。事实上,在我们的 IndusGuard Web 测试中,检测到“严重”级别漏洞的网站中有 91% 存在 SQL 注入漏洞。黑客经常在网站上寻找此漏洞,然后使用表单和 URL 等输入媒介使服务器执行某些命令。您可以在“关于 SQL 注入您需要了解的一切”中阅读更多相关信息
最近,据报道,一家领先的歌曲门户网站的用户数据库因 SQL 注入而遭到破坏。数据库显示了网站用户的数百万用户记录,但黑客并没有破坏他们。同样,主要在线出租车服务的网站也遭到黑客攻击,暴露了信用卡交易和优惠券代码。以下是 Open Web Application Security Project 列出的一些 Web 应用程序漏洞的列表。
2. 业务逻辑缺陷
随着 Web 应用程序在本质上变得复杂和多维,漏洞不仅限于众所周知的因素。有时,存在由多个逻辑缺陷导致并最终导致安全性下降的问题。
业务逻辑缺陷是一种应用程序漏洞,由环境安全漏洞引起。作为一个独一无二的问题,它没有通用的解决方案,也无法通过自动 Web 应用程序扫描来检测。这是理解这一点的简单方法。
“只有了解你业务的人才能够发现你的业务逻辑缺陷。”这是了解业务逻辑缺陷的示例。一家著名的股票经纪公司希望其客户在线交易。他们的虚拟在线交易平台专注于增加参与度并通过两步流程加快交易速度。
第1步:用户可以选择自己选择的股票、股票数量,然后点击“购买”。然后应用程序计算交易的总价值并要求用户“下订单”。
第2步:在第1步之后,用户可以选择继续下单 或取消交易。
问题:Web 应用程序扫描会话显示该应用程序没有任何 OWASP 或 WASC 漏洞,但存在问题。攻击者实际上可以在管理员不知情的情况下做出明智的决定并赚取巨额利润。攻击者必须以当前价格选择股票,并在确认对话框中冻结该过程。如果第二天该特定股票的价格飙升,他可以确认冻结的交易并以旧的价格获得股票。
3. 零日威胁
零日威胁来自最近公开且仍未修补的漏洞。还有一些“小于零日漏洞”被传递到黑客队伍中进行利用,并且不为世人所知。多年来,随着 Heartbleed、POODLE 和 FREAK 等漏洞在全球范围内肆虐,这些未知漏洞的数量不断增加。
事实上,就在几个月前,WordPress 正在处理一个双零日漏洞,该漏洞允许全球数千个网站上的跨站点脚本 (XSS)。这次攻击针对的是当时最新版本的 WordPress。攻击者可以通过向站点管理员发送注入的 HTML 消息来利用此漏洞。攻击者可以从那里创建帐户和更改密码,或者几乎所有目标管理员可以做的事情。
尽管 WordPress 很快就发布了针对这些漏洞的补丁,但它给了地下世界足够的时间同时针对多个网站。事实上,许多零日漏洞已经多次让 Adobe 和 Java 摇摇欲坠。近几个月来,传输层安全 (TLS) 和安全套接字层 (SSL) 也遭遇了加密漏洞。
集成 Web 应用程序测试
随着越来越多的公司将业务流程和数据存储转移到网上,他们也花费了大量时间和精力寻找漏洞评估程序。不可避免地,选择归结为具有独特功能的自动和手动测试。
一方面,不可能在每个微小的 Web 应用程序更改后分配专门的时间和人员进行测试,这是自动 Web 应用程序扫描擅长的任务。另一方面,业务逻辑缺陷检测需要人类思考和操纵,以非常规的方式进行渗透。这使得公司能够掌控决策者认为可行的事情。
我们的问题是:为什么您不能在一个集成的 Web 应用程序扫描仪中获得两者的好处?为什么它不能同时提供 OWASP Top 10 的自动化测试和业务逻辑缺陷的手动渗透测试?