人
已阅读
已阅读
高防CDN加速平台的应用
作者:cdnfine 来源:cdnfine 发布时间:2018-07-16
渗透测试,也称为笔测试,是一种模拟网络攻击对你的计算机系统检查可探查漏洞。在高防CDN加速平台应用安全性的背景下,渗透测试通常被用来增强Web应用防火墙(WAF)。笔测试可能涉及试图破坏任何数量的应用系统(例如应用协议接口(API)、前端/后端服务器)来发现漏洞,例如易受代码注入攻击的非处理输入。
渗透测试提供的洞察力可以用来微调您的WAF安全策略并修复检测到的漏洞。在CDN加速平台确定测试的范围和目标,包括要解决的系统和要使用的测试方法。收集情报(如网络和域名、邮件服务器),以更好地了解目标的方式和潜在漏洞。检查应用程序的代码,以估计其在运行时的行为。这些工具可以一次扫描整个代码。
这个阶段使用Web应用程序攻击,例如跨站点脚本、SQL注入和后门,来检测漏洞。高防CDN加速平台然后测试人员尝试利用这些漏洞,通常是通过升级特权来窃取数据、拦截流量等,以了解它们可能造成的损坏。这个阶段的目标是看是否可以使用脆弱性来实现所使用的系统中的持续存在,这足够长的时间来深入访问坏角色。这个想法是模仿先进的持续性威胁,这些威胁通常在系统中停留数月,以窃取组织中最敏感的数据。所使用的特定漏洞;要访问的敏感数据;笔测试仪无法在系统中检测的时间量。安全人员将分析此信息,以帮助配置企业的WAF设置和其他应用程序安全解决方案,以修补漏洞,防止未来的攻击。
在内部测试中,可以访问防火墙后面应用程序的测试者来模拟恶意内部人的攻击。这高防CDN加速平台不一定能模拟流氓的行为。常见的启动场景可能是由于网络钓鱼攻击而导致员工被盗。在盲测试中,测试人员只能获取目标企业的名称。这使得安全人员能够实时理解实际应用攻击发生的方式。在双盲测试中,安全人员不具备模拟攻击的先验知识。他们没有时间来支持他们的防御,直到他们试图摧毁它。渗透测试和WAF是排他性的,但CDN加速平台却是互惠互利的安全措施。对于许多笔测试(除了盲和双盲测试),测试人员可以使用WAF数据,如日志,定位和开发应用程序的弱点。反过来,WAF管理员可以从笔测试数据中获益。在测试之后,您可以更新WAF配置,以防止测试中发现的弱点。笔测试满足了安全审计过程的一些符合要求,包括PCI DSS和SoC 2。例如,只能通过使用认证的WAF来满足PCI-DSS 6.6。
本内容由免费CDN加速原创或转载,转载请保留地址,不标明出处违者必究!
渗透测试提供的洞察力可以用来微调您的WAF安全策略并修复检测到的漏洞。在CDN加速平台确定测试的范围和目标,包括要解决的系统和要使用的测试方法。收集情报(如网络和域名、邮件服务器),以更好地了解目标的方式和潜在漏洞。检查应用程序的代码,以估计其在运行时的行为。这些工具可以一次扫描整个代码。
这个阶段使用Web应用程序攻击,例如跨站点脚本、SQL注入和后门,来检测漏洞。高防CDN加速平台然后测试人员尝试利用这些漏洞,通常是通过升级特权来窃取数据、拦截流量等,以了解它们可能造成的损坏。这个阶段的目标是看是否可以使用脆弱性来实现所使用的系统中的持续存在,这足够长的时间来深入访问坏角色。这个想法是模仿先进的持续性威胁,这些威胁通常在系统中停留数月,以窃取组织中最敏感的数据。所使用的特定漏洞;要访问的敏感数据;笔测试仪无法在系统中检测的时间量。安全人员将分析此信息,以帮助配置企业的WAF设置和其他应用程序安全解决方案,以修补漏洞,防止未来的攻击。
在内部测试中,可以访问防火墙后面应用程序的测试者来模拟恶意内部人的攻击。这高防CDN加速平台不一定能模拟流氓的行为。常见的启动场景可能是由于网络钓鱼攻击而导致员工被盗。在盲测试中,测试人员只能获取目标企业的名称。这使得安全人员能够实时理解实际应用攻击发生的方式。在双盲测试中,安全人员不具备模拟攻击的先验知识。他们没有时间来支持他们的防御,直到他们试图摧毁它。渗透测试和WAF是排他性的,但CDN加速平台却是互惠互利的安全措施。对于许多笔测试(除了盲和双盲测试),测试人员可以使用WAF数据,如日志,定位和开发应用程序的弱点。反过来,WAF管理员可以从笔测试数据中获益。在测试之后,您可以更新WAF配置,以防止测试中发现的弱点。笔测试满足了安全审计过程的一些符合要求,包括PCI DSS和SoC 2。例如,只能通过使用认证的WAF来满足PCI-DSS 6.6。
本内容由免费CDN加速原创或转载,转载请保留地址,不标明出处违者必究!