web应用渗透测试实施与解决方案.doc

web应用渗透测试实施与解决方案

摘要：近年来Web应用安全问题已经成为网络安全的一个焦点话题，根据有关数据显示，大部分的Web应用都存在着安全问题。想想现在无处不在的Web应用服务：电子邮件、在线文档、在线网银等，入侵这些应用系统已经不仅仅是攻击者炫耀自己技术手段，背后也存在着巨大的经济利益。

尽管人们在服务器和网络上安装了防火墙和杀毒软件、并对传输的数据采取了加密处理等防护措施，但是我们并没有在真正意义上确保Web应用技术本身的安全。常见的Web攻击手段SQL注入就是企业通过分析程序的漏洞利用社会正常的连接对Web应用系统进行攻击。在防火墙或者IDS等网络层安全生产设备看起来是正常的访问链接，没有其他任何一个特征研究显示此次访问控制存在一些恶意攻击。访问一旦通过，后续的安全管理问题就不是防火墙可以有效应对的了。因此需要对Web应用进行有效的安全测试以确保Web应用的安全性和可靠性。

渗透测试作为一种通过模拟真实的网络黑客对系统进行渗透攻击并获取访问控制权，并发现系统中存在的漏洞和安全隐患，它可以让企业人员直观地了解当前存在的威胁和系统的安全强度，并对发现的漏洞进行修补和处理，从而避免企业造成重大损失。

针对上述问题，本文首先对Web应用安全现状进行分析，详细地阐述Web应用程序安全测试的流程和方法，并创建了两个简答的测试网站用来研究几种常见的Web应用安全漏洞：如SQL注入漏洞，跨站脚本（XSS）漏洞，文件上传漏洞等。

关键词：Web应用安全，渗透测试，SQL注入，XSS

WebApplicationPenetrationTestImplementationandSolution

Abstract:Inrecentyears,Webapplicationsecurityhasbecomeafocusofnetworksecurity.Accordingtorelevantdata,mostWebapplicationshavesecurityproblems.ThinkoftheubiquitousWebapplicationservices:E-mail,onlinedocuments,onlinebanking,andsoon.

Whilewehaveinstalledfirewallsandantivirussoftwareonserversandnetworks,andencryptedthedatabeingtransmitted,wehavenotreallysecuredtheWebapplicationtechnologyitself.ThecommonmethodofWebattack,SQLinjection,istoattacktheWebapplicationsystembyexploitingthenormalconnectionofthesocietythroughthevulnerabilityoftheanalysisprogram.SecurityproductionequipmentinthenetworklayersuchasfirewallorIDSappearstobeanormalaccesslink,thereisnootheroneofthecharacteristicsofthestudyshowsthattherearesomemaliciousattacksontheaccesscontrol.Onceaccesspasses,subsequentsecuritymanagementissuesarenoteffectivelyaddressedbyfirewalls.Therefore,weneedtoconductaneffectivesecuritysystemtesttoensurethesecurityandreliabilityofWebapplications.

Asakindofsimulationtechnologyandmethodsofthemaliciousattackers,penetrationtestingfoiltargetsystemsafetycontrolmeasures,effortstocontrolaccess,andfound