十年來，企業(yè)看待 Web 應(yīng)用程序的方式發(fā)生了巨大變化。僅限于開發(fā)后忘記的東西，現(xiàn)在是在全球范圍內(nèi)經(jīng)營企業(yè)的強大力量。Web 應(yīng)用程序帶來了多重變化，尤其是在很大程度上依賴在線交易的行業(yè)。那么，它會改變整體安全前景嗎？事實上，確實如此。

那么處理這兩者的最佳方法是什么？您應(yīng)該研究自動Web 應(yīng)用程序掃描還是手動滲透測試？什么是測試最佳實踐？企業(yè)必須蓬勃發(fā)展才能在競爭中保持領(lǐng)先地位，其中很大一部分包括通過頻繁更改來增強用戶體驗和界面。當(dāng)沒有足夠的時間和資源來測試這些應(yīng)用程序時，問題就會開始浮出水面，尤其是那些可能導(dǎo)致服務(wù)器遭到破壞的漏洞。此外，還有一些特定于業(yè)務(wù)的缺陷會陷入邏輯悖論，并為黑客提供無意的破壞機會。

Web 應(yīng)用程序測試問題

在您研究 Web 應(yīng)用程序掃描之前，了解為什么保護應(yīng)用程序如此重要是很重要的。隨著為關(guān)鍵業(yè)務(wù)流程開發(fā)和使用的應(yīng)用程序數(shù)量不斷增加，它們也已成為黑客的主要目標(biāo)。事實上，據(jù)估計，如今超過 75% 的違規(guī)行為發(fā)生在應(yīng)用程序?qū)?。以下是您可能想要調(diào)查的一些主要威脅。

1. 已知漏洞

憑借數(shù)十年的工作和知識，來自 OWASP 和 WASC 的一群信息安全專家每年都會布置多個已知的應(yīng)用程序漏洞，這些漏洞可被利用來破壞安全性。盡管這些漏洞列表并不詳盡，但它們通常被稱為開始保護應(yīng)用程序的基礎(chǔ)。

目前，根據(jù)各種應(yīng)用程序安全專家的說法，注入缺陷位居漏洞列表之首。事實上，在我們的 IndusGuard Web 測試中，檢測到“嚴重”級別漏洞的網(wǎng)站中有 91% 存在 SQL 注入漏洞。黑客經(jīng)常在網(wǎng)站上尋找此漏洞，然后使用表單和 URL 等輸入媒介使服務(wù)器執(zhí)行某些命令。您可以在“關(guān)于 SQL 注入您需要了解的一切”中閱讀更多相關(guān)信息

最近，據(jù)報道，一家領(lǐng)先的歌曲門戶網(wǎng)站的用戶數(shù)據(jù)庫因 SQL 注入而遭到破壞。數(shù)據(jù)庫顯示了網(wǎng)站用戶的數(shù)百萬用戶記錄，但黑客并沒有破壞他們。同樣，主要在線出租車服務(wù)的網(wǎng)站也遭到黑客攻擊，暴露了信用卡交易和優(yōu)惠券代碼。以下是 Open Web Application Security Project 列出的一些 Web 應(yīng)用程序漏洞的列表。

2. 業(yè)務(wù)邏輯缺陷

隨著 Web 應(yīng)用程序在本質(zhì)上變得復(fù)雜和多維，漏洞不僅限于眾所周知的因素。有時，存在由多個邏輯缺陷導(dǎo)致并最終導(dǎo)致安全性下降的問題。

業(yè)務(wù)邏輯缺陷是一種應(yīng)用程序漏洞，由環(huán)境安全漏洞引起。作為一個獨一無二的問題，它沒有通用的解決方案，也無法通過自動 Web 應(yīng)用程序掃描來檢測。這是理解這一點的簡單方法。

“只有了解你業(yè)務(wù)的人才能夠發(fā)現(xiàn)你的業(yè)務(wù)邏輯缺陷?！边@是了解業(yè)務(wù)邏輯缺陷的示例。一家著名的股票經(jīng)紀公司希望其客戶在線交易。他們的虛擬在線交易平臺專注于增加參與度并通過兩步流程加快交易速度。

第1步：用戶可以選擇自己選擇的股票、股票數(shù)量，然后點擊“購買”。然后應(yīng)用程序計算交易的總價值并要求用戶“下訂單”。

第2步：在第1步之后，用戶可以選擇繼續(xù)下單 或取消交易。

問題：Web 應(yīng)用程序掃描會話顯示該應(yīng)用程序沒有任何 OWASP 或 WASC 漏洞，但存在問題。攻擊者實際上可以在管理員不知情的情況下做出明智的決定并賺取巨額利潤。攻擊者必須以當(dāng)前價格選擇股票，并在確認對話框中凍結(jié)該過程。如果第二天該特定股票的價格飆升，他可以確認凍結(jié)的交易并以舊的價格獲得股票。

3. 零日威脅

零日威脅來自最近公開且仍未修補的漏洞。還有一些“小于零日漏洞”被傳遞到黑客隊伍中進行利用，并且不為世人所知。多年來，隨著 Heartbleed、POODLE 和 FREAK 等漏洞在全球范圍內(nèi)肆虐，這些未知漏洞的數(shù)量不斷增加。

事實上，就在幾個月前，WordPress 正在處理一個雙零日漏洞，該漏洞允許全球數(shù)千個網(wǎng)站上的跨站點腳本 (XSS)。這次攻擊針對的是當(dāng)時最新版本的 WordPress。攻擊者可以通過向站點管理員發(fā)送注入的 HTML 消息來利用此漏洞。攻擊者可以從那里創(chuàng)建帳戶和更改密碼，或者幾乎所有目標(biāo)管理員可以做的事情。

盡管 WordPress 很快就發(fā)布了針對這些漏洞的補丁，但它給了地下世界足夠的時間同時針對多個網(wǎng)站。事實上，許多零日漏洞已經(jīng)多次讓 Adob??e 和 Java 搖搖欲墜。近幾個月來，傳輸層安全 (TLS) 和安全套接字層 (SSL) 也遭遇了加密漏洞。

集成 Web 應(yīng)用程序測試

隨著越來越多的公司將業(yè)務(wù)流程和數(shù)據(jù)存儲轉(zhuǎn)移到網(wǎng)上，他們也花費了大量時間和精力尋找漏洞評估程序。不可避免地，選擇歸結(jié)為具有獨特功能的自動和手動測試。

一方面，不可能在每個微小的 Web 應(yīng)用程序更改后分配專門的時間和人員進行測試，這是自動 Web 應(yīng)用程序掃描擅長的任務(wù)。另一方面，業(yè)務(wù)邏輯缺陷檢測需要人類思考和操縱，以非常規(guī)的方式進行滲透。這使得公司能夠掌控決策者認為可行的事情。

我們的問題是：為什么您不能在一個集成的 Web 應(yīng)用程序掃描儀中獲得兩者的好處？為什么它不能同時提供 OWASP Top 10 的自動化測試和業(yè)務(wù)邏輯缺陷的手動滲透測試？