----------------------------------------------装 订 线---------------------------------------------- |
XXX职业技术学院
毕业设计(论文)
题目: | Web渗透测试技术研究 | ||||
系 (院) | 信息系 | ||||
专业班级 | 计算机网络 | ||||
学 号 | 1234567890 | ||||
学生 | XXX | ||||
校导师 | XXX | 职 称 | 讲师 | ||
企业导师 | XXX | 职 称 | 工程师 | ||
企业导师 | XXX | 职 称 | 工程师 | ||
Web渗透测试技术研究
摘 要: |
随着网络技术的发展和应用领域的扩,网络安全问题越来越重要。相对于传统的系统安全,Web的安全得到了越来越多的重视。首先,越来越多的网络业务不再用专门的客户机/服务器模式开发,而是运行在Web上用浏览器统一访问;其次,和比较成熟的操作系统安全技术比较,Web的安全防护技术还不够完善,当前黑客也把大部分注意力集中在Web渗透技术的发展上,使Web安全总体上面临相当严峻的局面。 为了确保Web的安全,需要采用各种防护措施。在各种防护措施中,当前最有效的措施是先自己模拟黑客攻击,对需要评估的进行Web渗透测试,到各种安全漏洞后再针对性进行修补。 本文在对Web渗透测试技术进行描述的基础上,配置了一个实验用Web,然后对此目标进行了各种黑客渗透攻击测试,出需要修补的安全漏洞,从而加深了对Web安全攻防的理解,有利于以后各种实际的网络安全防护工作。 渗透攻防 wangzs |
关键词: |
网络安全;Web;渗透测试 |
Web site penetration testing technology research
Abstract: |
With the expansion of the network technology development and applications, network security issues become increasingly important. Compared with the traditional system security, Web security has got more and more attention. First, more and more network applications no longer develop with specialized client / server model, but run on the Web site and accessed by browser; Secondly, operating system security technology is relatively safe, but secure Web site protection technology is still not perfect, so the most of the current hackers’ attention focused on the development of Web penetration technology, the Web site is facing serious security situation in general. To ensure the security Web site, you need to use a variety of protective measures. In a variety of protective measures, the most effective measure is to own hacking simulation, the need to assess the Web site penetration testing, to find a variety of security vulnerabilities before specific repair. Based on the Web site penetration testing techniques described, the configuration of an experimental Web site, then this target site penetration of various hacker attack test, identify areas that need patching security holes, thereby deepening of Web security offensive understanding, there is conducive to future practical network security protection work. |
Keywords: |
Network Security, Web sites, penetration testing |
第一章 概述
1.1 网络安全概述
随着网络技术的发展,网络已经越来越多地渗透到当前社会生活的方方面面,网上电子商务、电子政务、电子金融等业务日益普及,网络上的敏感数据也越来越多,自然对网络安全提出了更高的要求。
根据一般的定义,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。要做到这一点,必须保证网络系统软件、应用软件、数据库系统具有一定的安全保护功能,并保证网络部件,如终端、调制解调器、数据链路的功能仅仅能被那些被授权的人访问。
在现实世界中,由于网络相关的各种软硬件安装、配置、管理上面基本不可能做到没有任何缺陷和漏洞,所以可以说不存在绝对的网络安全。尤其在当下网络技术逐渐普及扩散的情境下,防各种形式的黑客攻击是网络资源管理者必须严肃考虑的问题。
根据黑客攻击的类型,大致可以分为两种,一种是直接针对操作系统本身或应用软件的安全漏洞进行的攻击,传统的注入端口扫描、弱口令爆破、缓冲器溢出都属于这种类型的攻击,如果攻击成功往往可以直接远程控制目标系统,因此一旦出问题危害极大,但针对这种攻击的防技术也比较成熟,采用最新的安全操作系统、强大的防火墙和IDS入侵检测系统可以将绝大部分入侵企图拒之门外。另外一种就是针对动态Web进行的攻击,它不像针对系统的攻击那样直接,成功后能在目标系统上进行的操作有限,往往还需要进行提权等后续工作,但目前Web本身设计上的安全防护水平普遍不高,针对Web的防措施目前也还不够成熟,所以有安全问题的Web非常多,Web的攻防也是现在安全技术领域的研究热点。
1.2 Web面临的威胁
传统上,网络应用业务采用C/S(客户机和服务器)模式,即开发出安装在普通客户计算机上的递交申请业务模块和安装在高性能服务器上的响应请求业务模块,这样做的好处是性能高,响应速度快,但缺点是需要为每个业务专门开发不同的服务端和客户端,开发和学习的成本也高,所以现在的趋势是将所有的服务模块都放到Web上,而客户机统一使用浏览器去访问Web去实现业务功能。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论