云渗透测试是一种通过模拟恶意代码的攻击,对云系统进行主动检查和检查的方法。
云计算是云提供商和从提供商那里获得服务的客户的共同责任。
由于基础设施的影响,SaaS 环境不允许进行渗透测试。
云渗透测试在 PaaS 中是允许的,IaaS 需要一些协调。
应实施定期安全监控以监控威胁、风险和漏洞的存在。
合同将决定应该允许什么样的渗透测试以及多久可以完成一次。
重要的云渗透测试清单:
-
检查服务水平协议并确保云服务提供商 (CSP)和客户之间涵盖了适当的政策。
-
为维护治理与合规性,检查云服务提供商和订阅者之间的适当责任。
-
检查服务水平协议文档并跟踪CSP的记录,以确定维护云资源的角色和责任。
-
检查计算机和互联网使用政策,确保已按照适当的政策实施。
-
检查未使用的端口和协议,并确保应阻止服务。
-
检查存储在云服务器中的数据是否默认加密。
-
检查使用的双因素身份验证并验证 OTP 以确保网络安全。
-
检查URL 中云服务的SSL 证书,并确保从被拒绝的证书颁发机构购买的证书是正确的。
-
使用适当的安全控制检查接入点、数据中心和设备的组件。
-
检查向第三方披露数据的政策和程序。
-
检查 CSP 是否在需要时提供克隆和虚拟机。
-
检查云应用程序的正确输入验证,以避免 Web 应用程序攻击,如 XSS、CSRF、SQLi 等。
云计算攻击
CSRF (跨站请求伪造)
CSRF是一种旨在诱使受害者提交请求(本质上是恶意的)以用户身份执行某些任务的攻击。
侧信道攻击
这种类型的攻击是云所独有的,并且可能具有非常大的破坏性,但它需要大量的技巧和一定程度的运气。
这种攻击试图通过利用受害者正在使用云中的共享资源这一事实来间接破坏受害者的机密性。
签名包装攻击
另一种类型的攻击并非云环境所独有,但仍然是一种危及Web 应用程序安全性的危险方法。
基本上,签名包装攻击依赖于对 Web 服务中使用的技术的利用。
云环境中的其他攻击:
-
使用网络嗅探的服务劫持
-
使用XSS 攻击的会话劫持
-
域名系统DNS 攻击
-
SQL注入攻击
-
密码分析攻击
-
拒绝服务 (DoS) 和分布式 DoS 攻击
云渗透测试的重要考虑因素:
-
在云环境可用主机中进行漏洞扫描。
-
确定云的类型,是 SaaS 还是 IaaS,还是 PaaS。
-
确定云服务提供商允许的测试类型。
-
检查 CSP 对测试的协调、安排和执行。
-
执行内部和外部渗透测试。
-
获得执行渗透测试的书面同意。
-
在没有防火墙和反向代理的情况下对 Web 应用程序/服务执行 Web 渗透测试。
云渗透测试的重要建议:
-
使用用户名和密码对用户进行身份验证。
-
通过关注服务提供商的政策来保护编码政策。
-
必须建议使用强密码策略。
-
按组织定期更改,例如由云提供商分配的用户帐户名和密码。
-
保护渗透测试期间未发现的信息。
-
密码加密可取。
-
对SaaS 应用程序使用集中式身份验证或单点登录。
-
确保安全协议是最新的和灵活的。
重要的渗透测试工具
SOASTA 云测试:
该套件可以在单个 Web 平台上启用四种类型的测试:移动功能和性能测试以及基于 Web 的功能和性能测试。
LoadStorm:
LoadStorm 是一种用于 Web 和移动应用程序的负载测试工具,易于使用且具有成本效益。
BlazeMeter:
BlazeMeter 用于移动应用程序、网站和 API 的端到端性能和负载测试。
Nexpose:
Nexpose 是一种广泛使用的漏洞扫描程序,可以检测一系列设备、防火墙、虚拟化系统和云基础架构中的漏洞、配置错误和缺失补丁。
AppThwack:
AppThwack 是一个基于云的模拟器,用于在实际设备上测试 Android、iOS 和 Web 应用程序。它与Robotium、Calabash、UI Automation等流行的自动化平台兼容。
原文始发于微信公众号(网络研究院):云渗透测试清单
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论