假设在测试期间发现了一个缺陷,即带有用户会话标识符的 cookie 上缺少 HttpOnly 安全标志。如果没有此标志,则用户的 cookie 可能会被跨站点脚本攻击“窃取”。在安全评估的背景下,这显然是一个缺陷,应该在最终报告中描述。在渗透测试期间,只有当测试人员使用该缺陷并结合另一个缺陷设法访问合法用户的帐户时,才会考虑该缺陷。否则,报告中不会提及此类缺陷。
选择安全测试类型的下一个标准是向审计员提供的有关系统的数据。根据测试人员在开始测试之前掌握的信息,有三种可能的选择:
黑盒测试——测试人员不会的任何信息,甚至连账户都没有;在入口处他们只有一个 IP 地址列表或一个网站链接;
灰盒测试——测试人员会获得有效的账户和有关系统的有限信息;
白盒测试——向测试人员提供有关系统的完整信息:帐户、网络图、技术规范、Web 应用程序的源代码。
显然,盒子越“白”,测试完成后您将能够收到有关系统安全性的信息越完整。然而,您需要与第三方分享的重要信息越多,测试就会耗费越多的时间和金钱。
最后一个标准是进入系统的入口点。仅在 瑞士电报数据 本地网络级别进行渗透测试时才会考虑此标准。这里可能有两个选择:
外部渗透测试——只测试公司可从互联网访问的外部IP地址;
内部渗透测试——测试在公司网络内部进行;为测试人员提供公司内部的专用工作站或通过VPN访问内部网络。
通常情况下,仅在行业标准有相关要求或需要检查对所谓内部攻击(即由公司员工进行的攻击)的防护级别时,才会进行内部渗透测试。
因此,选择安全测试类型的主要标准已经得到考虑。结合这些标准将帮助您在创建测试请求时更准确地表达您的需求。如果彻底测试系统很重要,可以选择安全评估和白盒渗透测试的组合。如果时间或财务限制严格,那么最合理的解决方案就是黑盒渗透测试。
本文作者是OOO“Quality Technologies”公司(A1QA品牌)安全测试部门的工程师。