渗透测试服务对客户网站APP的信息收集与共享

时间:2019-12-12 14:23:59 关键词:渗透测试 信息收集 网站测试 网络安全 知识产权 域名 漏洞

在对客户网站和应用程序进行渗透测试服务之前,非常重要的前期工作是全面收集网站和应用程序的信息,以便更好地渗透。最近,在接受了一个金融客户的委托,安全地渗透到其网站和应用程序中。我们将通过文章与您分享整个初步信息收集过程。

无论是安全工程师还是白猫,在渗透测试过程中信息收集的重要性是非常明显的。我们将从我们的角度收集和渗透。首先,我们必须理解为什么信息收集在第一步是必要的,因为只有当我们真正了解客户时,我们才能了解我们的敌人和我们自己。进攻和防守是我们之间的竞争过程。等级越高,魔法等级越高。我们彼此理解得越好,我们就能越好地融入渗透测试。

客户要求找出当前网站和应用程序中的漏洞,然后我们必须对客户的网站开发语言以及数据库类型、服务器知识产权等方面进行全面的信息收集。我们掌握的信息越多,漏洞就越多。找到他最薄弱的一环,打开它,就会发现其他漏洞。对于收集的信息,我们可以将其分为三类。第一种是直接可用的信息,第二种是间接可用的信息,第三种是将来可以使用的信息。你如何理解这三个类别?未来可以使用的信息很简单,就是在新版本的网站开发和发布之前,官方网站就已经公布了,称新版本将于下月在平台上发布。我们可以获得的信息是,该网站的新版本有可能在没有渗透测试的情况下推出,具有高安全风险系数和高漏洞率。一般来说,可以直接使用的信息是网站中存在漏洞,如SQL注入漏洞、远程代码执行漏洞、逻辑越权漏洞、短信验证码盗版漏洞等。可以间接使用的信息是网站的后端地址和上传文件的地址,或者网站上存在主域名下的二级域名,我们统称为可以间接用于的信息。

然后我们在实际渗透测试服务中,针对金融客户的信息收集主要是从以下几个方面进行的:

网站域名信息收集,检查域名注册信息,以及域名注册邮箱,联系信息,另一个通过SSL证书来检查域名信息,检查网站JS文件是否包含其他二级域名信息,以及网站的背景地址信息,反编译APK文件来检查源代码是否包含其他域名的接口信息,子域的收集使用搜索引擎来检查收集的信息,是否包含子域,并使用域名暴力猜测工具来扫描。网站服务器的信息收集,检查网站是否隐藏真实的知识产权并启用CDN。如果真正的知识产权是隐藏的,通过注册会员和电子邮件在这里检查真正的知识产权。如果有第二个域名,您可以PING下一个第二个域名的服务器IP地址。使用PING工具,建议ping.chinaz.com在国内所有节点查询网站的知识产权。您也可以使用nslookup进行国外域名查询,因为国内的CDN只分析国外的知识产权。

无论服务器是使用windows系统还是linux系统进行收集,系统版本号也可以通过工具进行扫描。kali系统对服务器的端口开放进行全面的安全检查,检查服务器中是否存在任何漏洞,包括redis未授权访问漏洞等。通过端口打开,服务器可以检查哪些服务正在运行以及软件已安装。

收集网站代码,检查网站的JS文件是否有开源系统的痕迹,或者手动搜索特征码来确定CMS系统、网站开发语言、使用的数据库类型,然后检查网站是否有网站防火墙和网站背景地址集合。

这些是我们在早期渗透测试中为需要收集的一些信息。这项工作非常重要。我们收集的信息越多,我们就越有信心找到网站上的漏洞。因此,在网站和应用程序上线之前,许多客户必须进行全面的安全测试并扫描漏洞。一些顾客对此不屑一顾。网站和应用用户规模扩大后,漏洞造成的经济损失将尤为严重,发展将因规模过大和难以改变而受阻。如果你对渗透测试知之甚少,你可以找一家专业的渗透测试公司来帮你处理。国内的新加坡国家外汇管理局、祁鸣陈星和绿色联盟都比较好。网络安全包括你和我。你应该有安全意识和预防意识。只有通过双重互补,网站才能走得更远。

400 693 6199
重庆市渝中区重庆村1号商务大厦11F