技术重点在于利用有漏洞的web程序读取文件系统资料本文主要介绍.PPT

B/S架构体系安全渗透测试基础 质量保证部 朱晟 内容概要 前言 当今世界，Internet（因特网）已经成为一个非常重要的基础平台，很多企业都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上。根据最新调查，信息安全攻击有 75% 都是发生在 Web 应用而非网络层面上。同时，数据也显示，三分之二的 Web 站点都相当脆弱，易受攻击。 就公司以前WEB项目外部应用的现状：90%的网站都受到过类似SQL注入等黑客的攻击。 管理部分内容索引 B/S架构常见安全问题 B/S架构常见安全问题 当讨论起 Web 应用安全，我们经常会听到这样的回答：“我们使用了防火墙”、“我们使用了网络脆弱扫描工具”、“我们使用了 SSL 技术”……所以，“我们的应用是安全的”。现实真是如此吗？让我们一起来看一下 Web 应用安全的全景图。 为何要进行安全测试 但是，即便有防病毒保护、防火墙和SSL，企业仍然不得不允许一部分的通讯经过防火墙，毕竟 Web 应用的目的是为用户提供服务，保护措施可以关闭不必要暴露的端口，但是 Web 应用必须的 80 和 443 端口，是一定要开放的。可以顺利通过的这部分