當(dāng)前位置:首頁 >  站長 >  網(wǎng)站運(yùn)營 >  正文

滲透測試對(duì)網(wǎng)站API接口漏洞查找分析階段

 2020-03-07 15:07  來源: A5用戶投稿   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

首先是滲透接口測試:在安全工程師角度看這就是1個(gè)十分好的知識(shí)要點(diǎn)積累的方式,不僅有利于你現(xiàn)在每次的網(wǎng)站滲透測試中不遺漏掉某一點(diǎn),而且還能夠在隊(duì)伍里面開展分享有利于提高隊(duì)伍里面隊(duì)員的技術(shù)。我們SINE安全在針對(duì)甲方的網(wǎng)站滲透測試來說,在剛開始情況下和客戶溝通許多有關(guān)事項(xiàng)是十分用得著的:第2個(gè)是常用工具:磨刀不誤砍柴工,工欲善其事,有個(gè)好的常用工具影響大家在網(wǎng)站滲透測試時(shí)的工作效率。1個(gè)好的常用工具應(yīng)當(dāng)包含,不同服務(wù)器系統(tǒng)(windows2008,windows2012,linux centos);各式各樣條件與基本軟件(PHP、python、Rose、vus、數(shù)據(jù)庫服務(wù)器服務(wù)端、SSH鏈接服務(wù)端這些.

首先是網(wǎng)站滲透測試意義:用戶開展此次意愿是想要什么呢?等級(jí)保護(hù)、平時(shí)網(wǎng)站安全檢測或是網(wǎng)站被黑客攻擊篡改了數(shù)據(jù)等意圖,不同的意義影響漏洞判定級(jí)別的不同,也感覺測試流程中方式的不同。大部分客戶是被攻擊后才考慮做的滲透測試服務(wù),通過這個(gè)服務(wù)去查找當(dāng)前網(wǎng)站存在的漏洞,找出導(dǎo)致數(shù)據(jù)庫被修改的根源。

第2個(gè)是網(wǎng)站滲透測試方向:方向一般狀況會(huì)分成服務(wù)器和軟件系統(tǒng),這二種方向的滲透方式上是基本相同的。做軟件系統(tǒng)的網(wǎng)站滲透測試,大家須要判定軟件系統(tǒng)后端的服務(wù)器,通常在滲透軟件系統(tǒng)沒有效果的情況下大家能夠從服務(wù)器方面開始攻克,相反也是。

第3個(gè)是方向條件:通常我們SINE安全在對(duì)網(wǎng)站滲透測試會(huì)在二種條件中開展,一個(gè)是生產(chǎn),二是測試。不同的條件對(duì)網(wǎng)站滲透測試的規(guī)定也不同,假如是生產(chǎn)環(huán)境,大家須要防止對(duì)方向開展DoSudp攻擊、跨站腳本攻擊等將會(huì)造成服務(wù)停止或減緩服務(wù)沒有響應(yīng)的攻擊;次之生產(chǎn)環(huán)境的測試時(shí)間范圍須要挑選在非業(yè)務(wù)高峰時(shí)段;也有就是說生產(chǎn)環(huán)境大家做網(wǎng)站滲透測試的情況下要防止向方向加入、刪掉或改動(dòng)數(shù)據(jù)信息的姿勢(shì)。

在方向條件的不同上,做網(wǎng)站滲透測試還會(huì)遭遇1個(gè)難題就是說怎樣接入方向條件中。通常對(duì)移動(dòng)互聯(lián)網(wǎng)對(duì)外開放的生產(chǎn)系統(tǒng)或服務(wù)器大家能夠立即利用聯(lián)網(wǎng)線上開展測試;可是假如用戶的測試方向是里面的系統(tǒng)或服務(wù)器,尤其是在是接口測試這時(shí)候,需要聯(lián)網(wǎng)全部都是不能立即瀏覽的,這時(shí)大家好多個(gè)挑選一個(gè)是進(jìn)到用戶實(shí)地實(shí)施網(wǎng)站滲透測試,二是http代理或是IP瀏覽白名單的方式瀏覽。記牢一個(gè)方面,假如是在家里開展網(wǎng)站滲透測試提議買1個(gè)云服務(wù)器提拱1個(gè)外網(wǎng)IP,畢竟這一個(gè)IP是固定不動(dòng)的,家庭裝的光纖寬帶通常全部都是動(dòng)態(tài)IP,用戶通常并不是應(yīng)當(dāng)允許將這類形式的動(dòng)態(tài)IP加入瀏覽的。

第4個(gè)是實(shí)施時(shí)間段:這一點(diǎn)兒在第三條中我就談及了,關(guān)鍵是須要與用戶確定好尤其是在生產(chǎn)環(huán)境實(shí)施。

第5是安全風(fēng)險(xiǎn)避免預(yù)案:我們SINE安全經(jīng)常與甲方公司一塊兒商議搞好安全風(fēng)險(xiǎn)避免預(yù)案,有利于大家在滲透測試中解決各式各樣緊急狀況。實(shí)施一鍵備份與搞好應(yīng)急方案有利于在發(fā)生緊急狀況時(shí)還原系統(tǒng);搞好測試時(shí)長范圍之內(nèi)的安全巡檢,當(dāng)發(fā)現(xiàn)異常時(shí)立即關(guān)停.

溝通交流好上述的內(nèi)容以后,就能夠剛開始漏洞測試方面了。還有一些需要跟大家說一下,網(wǎng)站以及APP在上線之前,一定要去做滲透測試服務(wù),找出網(wǎng)站和APP當(dāng)前存在的漏洞,避免后期業(yè)務(wù)發(fā)展較大而產(chǎn)生重大的經(jīng)濟(jì)損失,國內(nèi)做滲透測試服務(wù)的公司也就SINESAFE,綠盟,鷹盾安全,啟明星辰比較專業(yè),也由衷的希望更多的互聯(lián)網(wǎng)公司,以及網(wǎng)站運(yùn)營主管了解安全,了解風(fēng)控以及滲透測試。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)站滲透測試

相關(guān)文章

加載更多

熱門排行

信息推薦