等保测评中渗透测试会测试什么？

最近收到很多小伙伴反馈，询问等保测评中渗透测试到底会测试什么？因此，今天小云就为大家统一介绍下：

1.注入式攻击

用户在执行命令或查询时，向WEB应用程序提交数据，这时就会发生基于网络的威胁，比如SQL注入、OS命令注入和LDAP注入。攻击者的恶意有效负荷会欺骗WEB应用程序执行计划外命令或者未经正确授权的情况下访问数据。

2.跨站点脚本攻击（XSS）

若WEB应用在未经适当验证和转义的情况下接受用户通过页面提交的数据，就有可能会引发XSS攻击。攻击者可以利用跨站点脚本在用户浏览器上执行脚本，从而劫持用户会话，破坏网站，或者将用于重新指向恶意站点。

3.失效的身份验证

应用的身份验证和会话管理功能经常配置不当，攻击者可以借此损坏密码、秘钥或会话令牌，或者利用其它漏洞暂时性或永久性假冒其他用户身份。

4.使用含有已知漏洞的组件

运行组件（数据库、框架和其他软件模块）跟应用具有相同的权限要求。若攻击者利用了存在漏洞的组件，这类攻击会导致数据损失或远程接管服务器等重大事故。使用含有已知漏洞的组件的应用和API可能会破坏应用防御机制，启动攻击，并产生特定影响。