为什么需要渗透测试？

来自Gartner的数据显示，当前大部分的网络攻击集中在Web应用层

• 
  • 注入式攻击
  • 应用层web攻击占比70%
• 
  • 攻击比例
  • 与之相比，传统的网络攻击只占30%
• 
  • 漏洞比例
  • 90%的web站点存在高危逻辑漏洞
• 
  • web组件漏洞
  • 55%的web站点都存在web组件漏洞

web应用测试测试什么？

•  

  注入式攻击

  • 用户在执行命令或查询时，向web应用程序提交数据，这时就会发生基于网络的威胁，比如SQL注入、OS命令注入和LDAP注入。攻击者的恶意有效负荷会欺骗web应用程序执行计划外命令或者未经正确授权的情况下访问数据。

•  

  跨站点脚本攻击（XSS）

  • 若web应用在未经适当验证和转义的情况下接受用户通过页面提交的数据就可能引发XSS攻击。攻击者可以利用跨站点脚本在用户浏览器上执行脚本，从而劫持用户会话，破坏网站，或者将用于重新指向恶意站点。

•  

  失效的身份验证

  • 应用的身份认证和会话管理功能经常配置不当，攻击者可以借此损坏密码、密钥或会话令牌，或者利用其他漏洞暂时性或永久性假冒其他用户身份。

•  

  使用含有已知漏洞的组件

  • 运行组件（数据库、框架和其他软件模块）跟应用具有相同的权限要求。若攻击者利用了存在漏洞的组件，就会导致数据损失或远程接管服务器等重大事故。使用含有已知漏洞的组件的应用和API可能会破坏应用防御机制，启动攻击，并产生特定影响。