渗透测试技术在校园网中应用研究.docVIP

渗透测试技术在校园网中应用研究 　　摘要：伴随着校园网络的广泛应用，极大的方便和提升了教学质量也丰富了校园生活；同时，大量师生信息等敏感数据存储在校园网络中，一旦遭受恶意攻击，后果不堪设想；因此校园网络的安全与防护问题应该得到足够的重视。为此该文结合渗透测试技术和校园网络的安全问题，分析了校园网络安全目标，阐述了渗透测试技术在校园网络中的应用。 　　关键词：校园网络安全；渗透测试技术；应用 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）20-0062-03 　　随着网络的使用越来越广泛，网络安全问题也越来越被大众关注。近几年频繁发生的重大黑客事件，金融圈发生多起信用卡个人信息泄漏事故，通信公司的用户个人信息也被攻击。个人隐私安全越来越受到威胁，尤其是大学校园网络这种大量个人信息及重要信息密集存储的系统，网络安全问题就显得更为突出。因此，如何保证校园网络的安全可靠则应作为当前高校网络管理工作的重中之重。 　　1校园网络安全存在的问题 　　1.1操作系统安全问题 　　1）客户端存在的问题 　　以笔者所在高校为例，研究发现大部分用于教学的主机操作系统是windows XP和windows 7两种操作系统，由于主机本身硬件配置较低而且还要安装大量教学用的软件，管理员为了节约的系统资源，减少不必要的系统资源消耗，保障系统的流畅运行，很少为其安装杀毒防护软件，甚至连操作系统自带的防火墙都不开启，由于安装的软件较多相对开放的端口也大大增加。这样一来就造成了网络中大量裸机的存在，加上各类使用者良莠不齐的安全意识，其中存在的网络安全问题可想而知。虽然，系统带有还原保护卡，但是如果使用过程遭受恶意攻击，其危害性还是不容小觑的。 　　2）服务器端存在的问题 　　常见的服务器+脚本组合有： 　　鉴于在Linux操作系统上架设服务器相对比较复杂一些，大部分管理员选择使用Windows系列的服务器，由于一些服务器安装的比较早，一些应用对服务版本的依赖性，管理员的疏忽等问题，导致大量服务器存在使用的服务版本过低安全补丁安装不及时，随着时间的推移，会暴露出一系列针对服务器中服务版本的漏洞、错误配置的漏洞等。如很早就曝出的Struts2的利用漏洞、IIS5.x/IIS6.0服务的文件解析漏洞、Apache服务的解析漏洞等，虽然针对这些服务的漏洞早已给出解决方案，但是由于种种原因在一些服务器中至今仍能经常发现这些漏洞的身影。 　　1.2 web应用安全问题 　　1） 配置问题 　　很多网站由于管理员比较懒或者安全意识比较薄弱，在本来不该给予写权限的地方给予了写权限；后台密码不符合安全标准，默认口令、弱口令依然是密码安全的重要威胁，常见后台弱口令如：admin/admin、admin/admin888、admin/123456、manager/manager等；由于对上传文件类型未过滤或者过滤机制不严，导致恶意用户可以上传脚本文件，通过上传文件可达到控制网站权限的目的；默认文件未删除，导致信息泄露等。这些问题都只是其中的冰山一角。 　　2）应用程序编码问题 　　由于应用程序开发人员的水平所限，应用程序在开发的过程就已经带有安全隐患了。例如，应用程序中使用动态拼接的sql语句、页面异常信息（错误信息）处理不当、未判断变量传入合法性等造成的sql注入漏洞；未做容错处理，导致信息泄露等。 　　1.3管理规范问题 　　由于网络管理人员的安全意识淡薄和专业知识水平所限，没有关注服务器日志的习惯，只有等到出现了严重问题才会想起浏览日志查看错误来源，而这样往往可能错过了最佳问题排除时间；对于服务器的管理员的密码没有严格的保护机制，有些管理员为了方便甚至将整个网站或者服务器的所有账户密码保存在本地某个文件中而且不做任何加密措施。这些都是一些严重的安全管理隐患，如果管理员的个人电脑遭到攻击，很有可能所有服务器管理权限都轻松落入攻击者手中。 　　2渗透测试技术在校园网络中的应用 　　如果要制造不错的盾牌，首先要研究对方的长矛。同理，为了进行防御首先要学习有关攻击的知识。对于网络安全更好的防御方法，可以通过了解恶意黑客们的攻击手法来加固系统安全性能。 　　2.1渗透测试技术 　　渗透测试事实上并没有一个明确统一的定义。从国外一些安全组织达成的共识来看，渗透测试是通过模拟恶意黑客的攻击手法，来对目标网络系统安全的一种评估 方式，这个过程会包含系统的任何薄弱点、技术缺陷或漏洞的主动发现与分析。从而 实现变被动防御为主动防御的目的。 　　渗透测试的过程与其他评估方式是不同的。常用的评估方式是利用当前已经知道的资源信息或者其他的被测评对象，去发掘所有与之相关联的安全问题。渗透测试方法这是利用已经存在的相关安全