指任何有价值的信息——个人用户数据、支付卡数据、公司账户等。即使 Web 应用程序不存储或处理任何敏感数据,声誉损失也不容忽视。显然,如果一个网站被黑客入侵并且竞争对手的徽标被放置在主页上而不是公司的徽标,这显然不会对业务产生积极影响。
那么,虽然我们了解进行安全测试的重要性,但下一步该做什么呢?如何确定您需要哪种类型的安全测试?如果有检查系统安全性的要求(例如由外部审计员制定),那就太好了。这样,确定测试工作清单就相当容易了。如果没有安全要求,但是需要检查怎么办?人们经常会向提供测试服务的公司提出以下请求:“我有一个网站/网络,我想测试它的安全性!”接下来,专家开始澄清请求的细节,这有时需要几天时间。从一开始就制定详细的请求要容易得多,从而节省宝贵的时间。我们将讨论如何进一步详细说明您的安全测试需求。
通常,所需的安全测试类型可以通过以下几个标准确定:
测试目标;
可提供给审计员的有关系统的信息;
系统入口点(仅与测试本地网络相关)。
根据目标,安全测试分为两种类型:渗透测试和漏洞 瑞士电报数据 评估。
渗透测试的目的从名称本身就很清楚。在这里,测试人员的任务是尝试渗透 Web 应用程序的内部基础设施、控制内部服务器或获取重要信息。在这种情况下,测试人员模拟了真实黑客可能采取的行动。测试期间发现的缺陷以及测试方法本身并不发挥作用。这种测试的结果要么是获得未经授权的访问,要么是表明鉴于系统的当前状态,无法获得此类访问。渗透测试比安全评估花费的时间更少,并且可以揭示您的防御措施对外部威胁的有效性。
因此,如果主要目的是找出入侵者真正实施黑客攻击的危险有多大,那么渗透测试就是您的选择。
反过来,安全评估意味着对系统进行最完整、最广泛的检查。其主要目的不是获取访问权限,而是识别可能导致未经授权的访问或系统用户受到危害的配置缺陷和漏洞。安全评估中发现的所有缺陷都会根据其风险等级和对整个系统安全的影响程度进行排序。对已发现的漏洞的利用通常不会被实施,或由双方协商后进行。
安全评估相当耗时,且往往仅依据各行业标准的要求进行。
我们来看一个小的实际例子,可以清楚地看到渗透测试和安全评估之间的区别。