Web开发常见漏洞解方法.docVIP

Web开发常见漏洞解决方法 基本上，参加的安全测试（渗透测试）的网站，可能或多或少存在下面几个漏洞：SQL注入漏洞、跨站脚本攻击漏洞、登陆后台管理页面、IIS短文件/文件夹漏洞、系统敏感信息泄露。 1、测试的步骤及内容 这些安全性测试，据了解一般是先收集数据，然后进行相关的渗透测试工作，获取到网站或者系统的一些敏感数据，从而可能达到控制或者破坏系统的目的。 第一步是信息收集，收集如IP地址、DNS记录、软件版本信息、IP段等信息。可以采用方法有： 1）基本网络信息获取； 2）Ping目标网络得到IP地址和TTL等信息； 3）Tcptraceroute和Traceroute 的结果； 4）Whois结果； 5）Netcraft获取目标可能存在的域名、Web及服务器信息； 6）Curl获取目标Web基本信息； 7）Nmap对网站进行端口扫描并判断操作系统类型； 8）Google、Yahoo、Baidu等搜索引擎获取目标信息； 9）FWtester 、Hping3 等工具进行防火墙规则探测； 10）其他。 第二步是进行渗透测试，根据前面获取到的数据，进一步获取网站敏感数据。此阶段如果成功的话，可能获得普通权限。采用方法会有有下面几种： 1）常规漏洞扫描和采用商用软件进行检查； 2）结合使用ISS与Nessus等商用或免费的扫描工具进行漏洞扫描； 3）采用SolarWinds对网络设备等进