基于Kali Linux的Web渗透测试研究.docVIP

基于Kali Linux的Web渗透测试研究 　　【 摘 要 】 随着互联网应用的广泛普及，互联网在社会生活各个方面发挥着越来越重要的作用。与此同时，Web应用系统的安全面临着严峻考验，Web渗透测试技术已成为保障Web安全的一种重要手段。文章在研究Web系统安全脆弱性及常见漏洞基础上，通过分析黑客Web攻击的基本步骤，提出一种基于Kali Linux进行Web渗透测试的方法，以实现评估和提高Web应用系统安全的目的。 　　【 关键词 】 Web安全;渗透测试;Kali Linux 　　Study of Kali Linux Web based on Penetration Testing 　　Xu Guang 　　（Fuzhou Central Branch of Peoples Bank of China FujianFuzhou 350003） 　　【 Abstract 】 With the widespread of Internet applications， the Internet is playing an increasingly important role in all aspects of social life; at the same time， the application of Web system security is facing a severe test， Web penetration testing technology has become an important means to ensure the security of Web. In this paper，based on the research of the weak in Web system security and the common vulnerability ， by the analysis of the basic steps of Web attack， proposes a method of Web based on penetration test Kali Linux， in order to achieve the purpose to evaluate and improve the security of Web application system. 　　【 Keywords 】 web security; penetration testing; kali linux 　　1 引言 　　随着Web技术的日益成熟，Web应用系统已被广泛应用于电子政务、电子商务等领域，不断向公众提供各种信息和服务。Web 技术极大地改变了人们工作和生活方式，网上购物已成为人们日常生活非常重要的一部分。根据中国互联网络信息中心发布的数据，截至2014年6月，中国网民已经达到6.32亿，网站273万家，国内域名数1915万个，2013年，我国网络购物用户超过了3亿，交易金额达到了1.85万亿元人民币。然而，在Web 应用技术迅猛发展的同时，由于Web应用及其运行环境先天的脆弱性，Web 应用系统容易出现安全问题。 　　据《2014中国网络空间安全发展分析报告》显示，2014年上半年，我国大约有2.5万余个网站遭黑客入侵和篡改。近年来，网站信息泄露事件频发，包括国内最大的程序员网站CSDN、天涯社区、12306等知名网站的用户信息外泄，在网上曝光的用户信息条数过亿。曝光的网站攻击事件，仅是冰山一角，更令人不安的是，有33%的组织不知道自己的网站是否受到入侵。Web应用系统的安全面临着严峻的现实考验，如何保证Web网站安全已成为一个重要的研究热点。Web 渗透测试因此成为评估Web 网站安全的一个重要的手段。 　　2 渗透测试相关概念 　　渗透测试（Penetration Testing）作为网络安全防范的一种新技术，就是在实际网络环境下，由高素质的安全人员发起的，经过客户授权的高级安全检测行为，通过模拟恶意黑客的攻击方法，来评估计系统安全的一种评估方法。评估方法包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。渗透测试可以高度仿真地反映客户系统面临的风险，在渗透测试的过程中，充分暴露和发掘潜在的漏洞，揭示目标系统中存在的安全缺陷。 　　Kali Linux（前身是 Back Track）是一个基于Debian的高级渗透测试和安全审计Linux发行版。它集成了精心挑选的渗透测试和安全审计的工具，供渗透测试和安全设计人员使用。其预装了许多渗透测试软件，包括如Nmap （端口扫描器）