正文

【霄享·安全】应用安全评估全流程——2022年9月刊(总第31期)

admin
admin V管理员 /0 评论 /247 阅读
0928
此篇文章发布距今已超过722天,您需要注意文章的内容或图片是否可用!

什么是应用安全评估



应用安全评估,是一种黑盒的测试方法。


它以渗透测试作为切入点,站在攻击者的角度模拟黑客,挖掘漏洞并最大程度模拟其可能造成的危害,能够清晰了解业务系统的安全短板,使企业先于攻击者发现问题,防患于未然。


►►►

评估目标类型

应用安全评估的目标分为以下几种类型:

  • 移动APP安全评估(IOS、Android)

  • Web应用安全评估

  • 主机服务应用安全评估

  • 纯接口应用安全评估


►►►

评估方法

应用安全评估能够发现应用存在的漏洞风险。而所有漏洞产生的根本原因,是这个应用没有对数据的输入与输出进行合理的校验。


我们可以人工发送指定的Payload到所有输入点,通过输出点的回显来判断漏洞是否真实存在。例如,传递一个SQL语句、Shell命令、恶意的Js语句,查看应用是否执行了非预期的操作。


这时候可能有人要问,难道必须在每一个参数处人工输入Payload吗?当然不是,扫描器可以替代人工去完成这个操作。但传统的扫描器是有弊端的:对于一些依赖于人机交互的功能,扫描器通常无法全面覆盖。


图源网络


通过以上内容,我们对漏洞产生的原理和测试的底层逻辑有了基础的认知,下面我们以一个Web站点的应用安全评估过程进行举例分析:


通常情况下,部署一个Web站点至少需要有系统、中间件、应用三部分,所以我们从以上三个层面分别进行分析,尝试构造输入的Payload,查看应用系统的输出结果,以此来判断漏洞是否存在:


1、Web系统

  • 人工或使用工具识别开放的端口与系统服务,并确认该服务版本是否存在漏洞。

  • 使用主机漏扫工具检测系统服务是否存在漏洞。

2、Web中间件

  • 人工或使用工具识别中间件指纹,并确认该中间件版本是否存在漏洞。

  • 使用Web扫描工具检测应用或系统是否存在漏洞。

3、Web应用

  • 通过Google语法、查看页面源代码等方式发现Web页面,并确认是否存在敏感信息泄露。

  • 通过目录扫描工具发现应用存在的Web页面,并确认是否存在敏感信息泄露。

  • 使用漏扫工具主动扫描检测应用是否存在漏洞(主动扫描,侧重于SQL注入等漏洞)。

  • 人机交互测试,代理流量至被动扫描器进行检测(被动扫描)。

  • 人机交互测试,代理流量至越权扫描器进行检测(水平,垂直越权检测)。

  • 人工分析逻辑漏洞。

  • 人工分析基于上下文的越权漏洞。

  • 人机交互测试,代理流量至Fastjson、Log4j,Shiro等扫描插件进行检测。

由以上过程可知,一次完整的Web应用安全评估,最少需要进行工具扫描、人机交互、人工测试三种测试方法,并且无法完全进行工具自动化测试。三种测试方法相较而言,应用安全评估更加依赖于参与评估人员的经验。


►►►

评估的阶段过程

应用安全评估共分为三个阶段,即交互、评估、复测。

第一阶段:交互阶段

在这个过程中,安全评估团队会与被测试方进行交流沟通,确认评估范围、评估时间、测试信息、测试计划以及限制条件。

  • 确认测试范围:确认测试的资产(被测试方需提供域名、IP、APP等信息)

  • 时间估计:双方确认测试时间与测试计划。

  • 提供测试信息:由被测试方提供测试目标的访问途径,测试账户信息(通常为两个不同权限的账户与密码)。

  • 限制条件:确认测试窗口时间、系统备份时间等。

第二阶段评估阶

评估阶段,安全评估团队会根据前期交互阶段被测试方提供的信息内容,对相关应用进行安全评估,并以评估结论为依据,出具应用安全评估报告。被测试方需根据报告结论来对应用进行系统加固,修复高危漏洞。

第三阶段:复测阶段

被测试方完成漏洞修复后向安全评估团队提交复测申请,安全评估团队对评估阶段发现的漏洞进行复测,漏洞复测完毕则流程结束。


►►►

应用安全评估服务的目标与价值

  全面的安全检测

部分安全服务:如帆一云安全服务,同时使用了工具扫描、人机交互、人工三种测试方法,有效覆盖评估应用的所有功能点来进行测试。评估结果可使企业清晰了解业务系统的安全短板,以便对此采取必要的防范措施。


同时,拥有一支具备丰富经验的安全攻防团队,也可以帮助企业有效提升安全防护能力。

  提升安全开发能力

服务内包含详细的测试过程和修复建议、当前互联网安全方面最新颖与全面的攻击手法,可用于对应用系统的相关人员进行培训教育,同时可作为提升内部开发人员安全意识的学习案例,能够有效提高相关人员的网络安全认知度和网络安全能力。

  合法合规运营

应用安全评估服务是网络安全规范和法律的基本要求,如《信息安全等级保护》、《网络安全法》等法律法规都对应用系统都提出了相应要求。通过应用安全评估服务,可使用户应用系统满足《信息安全等级保护》、《网络安全法》等法律法规对渗透测试的要求。同时,应用安全评估服务可以提前发现应用系统中存在的安全问题,规避因网络安全问题导致的形象受损和经济损失等风险。



通过全面而深入的应用安全评估,可在技术层面定性地分析应用的安全性,发现应用中存在的安全隐患。在整个应用安全评估过程中,可有效的验证每个安全隐患点的存在及其可利用程度,并提供专业的整改加固建议。


经过上述一系列应用安全建设,能够很大程度提升应用系统的安全性,使应用系统能够更好地为广大用户服务。



本期专家介绍

张华峰


上海帆一尚行科技有限公司安全专家


专注于基础架构安全、应用安全、数据安全、应急响应等方面的工作和实践


部分内容与图片源自网络,如有侵权请与我们联系。




点击下方名片,关注我们


觉得内容不错,就点下“赞”“在看”

如果不想错过新的内容推送,可以设为星标🌟哦


【霄享·安全】应用安全评估全流程——2022年9月刊(总第31期)


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com