谚语“一针九针”概括了Web应用程序安全的核心。企业始终需要比攻击者和恶意行为者先一步识别Web应用程序中的漏洞、弱点和错误配置，并确保在攻击者找到并利用它们来策划攻击之前对其进行修补和/或修复。此类Web应用程序安全解决方案的关键措施之一，除了漏洞扫描器、WAF等安全工具外，就是Web应用程序测试或渗透测试。

渗透测试（笔测试）使企业能够通过在安全条件下模拟实时网络攻击来检查和了解Web应用程序的安全强度。重要的是要注意渗透测试不能自动化。这是一个由经过认证的安全专家执行的手动过程。

每个Web应用程序都有多个组件和资产，这些组件和资产是公开的并且容易受到攻击。对于大多数企业和开发人员来说，弄清楚哪些应用程序参数和组件需要包含在渗透测试清单中以及如何着手进行是一个相当大的挑战。

Web应用程序渗透测试清单指南：

渗透测试不能随机或盲目进行。您必须做的第一件也是最重要的事情是收集有关您的Web应用程序的所有可能信息、它的潜在威胁和涉及的弱点风险等。这是通过使用爬虫工具创建站点地图、手动打开页面、使用暴力访问网站上未链接的目录，从开发人员那里收集情报等。确保包括注释和元数据、应用程序上的第三方应用程序/服务、元文件和所有入口点，同时收集有关Web应用程序/目标的不同部分如何工作的情报。

如前所述，Web应用程序由多个组件和漏洞组成，所有这些都不需要进行测试。使用Web漏洞扫描器等自动化工具，您可以扫描已知漏洞，例如SQL注入、XSS、文件包含和另一个OWASP前10个漏洞.?使用AppTrana等服务后，您将能够根据您的业务的独特需求自定义扫描仪和调整策略。在可用的安全分析的帮助下，您将能够了解流量行为、攻击尝试的性质、攻击模式等。然后您可以验证扫描结果以查看可利用的内容和涉及的风险。利用渗透测试检查业务逻辑缺陷、用户/网络浏览器特定缺陷、未知漏洞以及漏洞扫描中未显示的其他错误配置。

3.制定稳健的安全策略和渗透测试计划

根据收集的信息/情报和创建的站点地图，通过定义渗透测试的范围、目标和预期结果/可交付成果，确定关键问题领域和高风险组件的优先级，制定稳健的安全策略。应用程序中允许用户添加、删除或修改内容（评论部分、联系表等）、第三方服务托管、入口点等的部分应具有高优先级。

您还应该包括作为不同用户的测试——一个不可靠的外部源，具有最少或没有权限，一个用户具有所有可能的权限和授权。

渗透测试必须用于测试以下内容。

仅仅进行渗透测试是不够的；最重要的是对测试结果进行详细分析。以安全人员可以微调WAF和其他安全措施的方式编译调查结果和分析，并且开发人员能够修复关键和高优先级漏洞。关键利益相关者必须了解已知和未知漏洞的性质、可访问的敏感数据以及渗透测试人员在系统中未被发现的时间跨度。