Web系统安全渗透测试方案的分析与设计

Web系统安全渗透测试方案的分析与设计

论文摘要

黑客攻击趋势已经从网络层转向了应用层,利用软件漏洞成功实施攻击的案例越来越多,传统安全体系已经无法做出有效防护。近年来我国网络建设和信息化建设步伐不断加快,国家重要信息系统业务模式与互联网紧密融合,在给国家带来巨大经济效益的同时,也给网络安全和管理风险带来了严峻的挑战,我部门的职能之一就是要做好国家重要信息系统重大安全漏洞分析和隐患的发现工作。根据Gartner的调查,信息安全攻击有75%都是发生在Web应用层而非网络层面上。同时数据也显示,2/3的Web站点都相当脆弱,易受攻击。渗透测试是发现Web系统安全隐患很好的手段。在国外,对于渗透性测试的研究以美国为代表的信息化发达国家早已经起步,几乎影响着全世界在风险评估领域的概念、观念和理念。目前我们国家的Web系统结构十分复杂,所集成的软件也各不相同,故而必须对渗透性测试方法和手段进行研究,这样才能适应Web系统安全渗透性测试的需求,建立可信的信息化工作体系。本文从Web系统安全风险点出发。根据OWASP提出的前十大安全风险列表,并根据实际项目经验深入分析了Web系统常见的高风险漏洞,设计了整个渗透测试的流程,并详细介绍了各个流程内容。同时,本文研究了渗透测试风险规避与应急措施。在文章的最后分多个层次整理出了常用到的渗透测试工具列表。本文主要工作总结如下:1.根据OWASP发布的高风险列表以及实际项目经验,深入分析了Web系统常见的高风险漏洞攻击原理、危害和防范措施,包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞和安全配置错误。2.设计渗透测试的流程和内容,分为5个阶段包括准备阶段、信息搜集阶段、渗透测试阶段(高风险弱点的利用、普通弱点的利用)、风险分析阶段和报告编写阶段,结合实际讨论了每个阶段应该完成的内容,并阐述了这些阶段不一定是顺序执行的,它们之间存在联系。最后,给出了一个应用测试方案完整实例。3.提出渗透测试过程中是存在风险的,需要对渗透测试阶段的风险进行规避与应急,尤其是要做好重要数据的备份,否则后果是灾难性的。4.为了提高渗透测试效率,需要借助自动化的渗透测试工具。本文最后从系统自带、免费以及商业版等角度整理归纳了常见的渗透测试工具,并罗列了主要的功能。另外本文也强调了由于时间、技术水平等多因素影响,通过一次渗透测试不可能发现系统存在的所有安全隐患。同时为了不对测试目标造成破坏,对于某些可能会对测试对象造成负面影响的攻击方法和手段,在渗透测试中也不建议使用。

论文目录

  • 摘要
  • ABSTRACT
  • 第一章 引言
  • 1.1 课题背景
  • 1.2 WEB系统安全发展现状
  • 1.3 课题任务
  • 1.4 论文结构
  • 第二章 WEB系统安全理论分析
  • 2.1 WEB应用基础
  • 2.1.1 Web安全概述
  • 2.1.2 典型的Web应用分析
  • 2.2 WEB系统安全风险点
  • 2.3 WEB系统高风险漏洞分析
  • 2.3.1 SQL注入漏洞
  • 2.3.2 跨站脚本漏洞
  • 2.3.3 文件上传漏洞
  • 2.3.4 安全配置错误
  • 2.4 本章小结
  • 第三章 WEB系统安全渗透测试方案的设计
  • 3.1 准备阶段
  • 3.2 信息收集阶段
  • 3.3 渗透测试阶段
  • 3.3.1 高风险漏洞的利用
  • 3.3.2 普通漏洞的利用
  • 3.4 风险分析阶段
  • 3.5 报告编写阶段
  • 3.6 本章小结
  • 第四章 渗透测试实例应用
  • 4.1 概述
  • 4.2 被测系统概况
  • 4.3 渗透测试实施过程
  • 4.4 本章小结
  • 第五章 WEB系统渗透测试中风险规避与工具
  • 5.1 数据备份的重要性
  • 5.2 其他风险规避措施
  • 5.3 渗透测试工具
  • 5.3.1 系统自带工具
  • 5.3.2 其他渗透测试工具
  • 5.4 本章小结
  • 第六章 结束语
  • 参考文献
  • 致谢
  • 相关论文文献

    • [1].系统安全领域人因错误理论研究进展[J]. 中国电子科学研究院学报 2020(07)
    • [2].现代系统安全观点分析及分层安全模型研究[J]. 中国安全生产科学技术 2020(09)
    • [3].信息系统安全课程混合式教学设计[J]. 计算机教育 2020(10)
    • [4].安全模式助力系统安全[J]. 网络安全和信息化 2018(01)
    • [5].市人民政府办公厅关于进一步做好住房城乡建设系统安全生产管理有关工作的通知[J]. 贵阳市人民政府公报 2016(14)
    • [6].姜开达:构建教育系统安全威胁情报共享平台[J]. 中国教育网络 2017(06)
    • [7].铁路信息系统安全的风险评估与管理分析[J]. 信息记录材料 2019(11)
    • [8].“金课”视角下网络与系统安全课程改革探索[J]. 教育教学论坛 2020(41)
    • [9].电力系统安全稳定控制的规划与应用分析[J]. 黑龙江科学 2016(22)
    • [10].电力系统安全稳定标准[J]. 电子制作 2016(24)
    • [11].医院信息化系统安全与防御措施[J]. 电子技术与软件工程 2017(19)
    • [12].有关电力系统安全稳定标准的探究[J]. 科技展望 2015(11)
    • [13].安防大数据系统安全的现状与挑战分析[J]. 信息系统工程 2019(01)
    • [14].大数据视阈下的系统安全理论建模范式变革[J]. 系统工程理论与实践 2018(07)
    • [15].基于RFID系统安全威胁的研究[J]. 产业与科技论坛 2017(15)
    • [16].系统安全工程原则[J]. 网络安全技术与应用 2016(10)
    • [17].“四二三”举措破解复学难题[J]. 湖北教育(政务宣传) 2020(07)
    • [18].调度自动化及通信系统安全防雷措施浅析[J]. 信阳农业高等专科学校学报 2013(01)
    • [19].信息系统安全与风险管理之我见[J]. 信息技术与信息化 2009(03)
    • [20].轻型运动飞机结构系统安全关键度研究[J]. 科学技术创新 2020(18)
    • [21].基于大数据的信息系统安全路径测评工具及评估方法[J]. 信息系统工程 2020(09)
    • [22].“流”视域下的系统安全协同理论模型构建[J]. 中国安全科学学报 2019(05)
    • [23].电力系统安全稳定标准研究[J]. 科技与创新 2017(05)
    • [24].信息系统安全现状及对策分析[J]. 黑龙江科技信息 2017(10)
    • [25].系统安全结构理论及特性研究[J]. 中国安全科学学报 2017(03)
    • [26].系统安全更新,不能因噎废食[J]. 电脑爱好者 2008(18)
    • [27].《信息系统安全与保密》课程教学改革探索[J]. 中国科教创新导刊 2008(32)
    • [28].电力系统安全及其应对策略[J]. 硅谷 2012(15)
    • [29].论信息系统安全风险评估方法[J]. 信息与电脑(理论版) 2011(12)
    • [30].中小企业信息系统安全应对策略[J]. 通信企业管理 2010(10)

    标签:;  ;  ;  ;  ;  

    Web系统安全渗透测试方案的分析与设计
    下载Doc文档

    猜你喜欢