同时,渗透测试也是受信任的第三方进行的一种评估网络安全的活动。与黑客攻击相比,渗透测试仅仅进行预攻击阶段的工作,并不对系统本身造成危害,即仅仅通过一些信息搜集手段来探查系统的弱口令和漏洞等脆弱性信息。渗透测试工具种类繁多,涉及广泛,按照功能和攻击目标分为网络扫描、通用漏洞检测和应用漏洞检测三类。云渗透检测流程分为准备阶段、测试部署阶段、信息收集阶段、场景构建阶段、攻击阶段和交付阶段。......
2023-11-18
基于Web安全的渗透测试与防护研究
【摘要】:针对Web应用的安全渗透进行研究,包括信息收集、漏洞扫描、漏洞利用、渗透攻击等阶段,针对SQL注入、任意文件上传等漏洞,采用真实案例,分析渗透测试技术,并最终获取系统的访问权限。同时为应对Web渗透攻击,对安全防护技术进行探索,可采用加固应用系统,并建立行之有效的监控系统来防止恶意入侵。刘刚,本科,助理工程师。
张延国 杨亚萍 刘刚
(上海计算软件技术开发中心 上海 201112)
摘要:随着Web技术的发展,Web应用在各个领域得到了广泛的应用,为人类生活和工作带来了极大的便利,但其中也暗藏了一些安全隐患,包括不法分子利用Web应用系统存在的漏洞对其进行恶意攻击等。针对Web应用的安全渗透进行研究,包括信息收集、漏洞扫描、漏洞利用、渗透攻击等阶段,针对SQL注入、任意文件上传等漏洞,采用真实案例,分析渗透测试技术,并最终获取系统的访问权限。同时为应对Web渗透攻击,对安全防护技术进行探索,可采用加固应用系统,并建立行之有效的监控系统来防止恶意入侵。
关键词:Web安全,渗透测试,SQL注入,任意文件上传,安全防护
资助项目:国家自然科学基金(61502299)、上海市科委项目(15511107003、16511101202)。
作者简介:张延国,男,1987年生,硕士,助理工程师,主要从事及研究领域:信息安全。E-mail:yanguoyange@163.com。
杨亚萍,硕士,工程师。(www.chuimin.cn)
刘刚,本科,助理工程师。
Research on Security Penetration and Protection Based on Web——Take an Enterprise Portal Penetration Test as an Example
ZHANG Yanguo YANG Yaping LIU Gang
(Shanghai Development Center of Computer Software Technology, Shanghai 201112, China)
Abstract: With the development of Web technology, web application has been widely developed in various fields. E-commerce sites, hospital registration application system, portal website, OA office system have brought great convenience to our life and work. But criminals make malicious attack on Web application system through its vulnerabilities. It has also become a key security risk. This paper makes research on the security for Web application penetration, including information collection, vulnerability scanning, vulnerability exploitation, penetration attack.According to SQL injection, arbitrary file upload vulnerability, real case analysis is used to make penetration test,and gain ultimate access to the system. At the same time, in order to deal with Web penetration attack, the security protection technology is explored. Strengthening the application system and establishing an effective monitoring system is suggested to prevent malicious intrusion.
Keywords: Web Security, Penetration Testing, SQL Injection, Arbitrary File Upload, Security Protection
有关2017年软件工程论文专集的文章
- 详细阅读
-
渗透测试简介及方法与意义详细阅读
渗透测试是一种全新的安全防护思路,将安全防护从被动转换成了主动。渗透测试是由专业安全公司模仿黑客,针对授权企业目标进行安全检测的方法。Web渗透测试包含信息收集阶段、渗透测试执行阶段、分析阶段三个主要工作阶段[1]。在渗透测试结果的基础上进一步分析、挖掘引起这些问题的漏洞可能导致的其他后果及影响,检查是否可以做漏洞利用,或是真正的越权取得信息,抑或是可以进一步利用从而最终获得应用或操作系统的权限。......
2023-10-21
-
爆炸焊的安全与防护措施详细阅读
2)爆炸场地应设置在远离建筑物的地方,进行爆炸焊的场所周围不得有可能受到损害的物体。3)对从事爆炸焊工作的人员必须进行工种训练和考核,只有通过考核并取得操作证才可以进行操作。同时要接受安全和保卫部门的监督,遵守国家有关政策法令。4)在进行爆炸焊操作之前应确保所有工作人员及物品均处于安全地带,确保所有人员做好防声、防震措施。引爆前给出信号,炸药爆炸3min后工作人员才能返回爆炸地点。......
2023-06-26
-
如何选择适合的防护安全用具详细阅读
为了保证电力工人在生产中的安全和健康,除在作业中使用基本安全用具和辅助安全用具外,还应使用必要的防护安全用具,如安全带、安全帽、安全绳、护目镜等,这些防护用具的作用是其他安全用具不能代替的。2)安全带应高挂低用或水平拴挂。3)安全带使用和存放时,应避免接触高温、明火和酸类物质,以及有锐角的坚硬物体和化学药物。安全带的使用期为3~5年,发现异常应提前报废。安全帽的使用期限视使用状况而定。......
2023-07-01
-
Web应用程序安全防护核心:攻击、信息泄露、详细阅读
当前Web应用程序主要面临Web攻击、信息泄露、网站不可用三大威胁,因此Web应用程序安全防护的核心也围绕此三大威胁展开。通过软件开发安全、服务器安全加固、加强内部人员安全防范以及增加安全设备,降低系统遭受攻击的风险。......
2023-10-21
-
焊接安全知识:培训与防护措施详细阅读
金属材料的焊接与切割是特种作业之一。在焊接实训中,要强调安全操作技能的培训;实际操作训练中,应采取相应的安全防护措施。金属烟尘是焊接时的高温引起被焊金属和焊材金属元素的蒸发和氧化而产生的。焊接常用的焊接设备有气焊、气割、焊条电弧焊设备,设备使用前,必须经专业人员进行检查维护;实训人员在使用前必须按设备操作规程进行安全检查。工作完毕离开作业现场时,必须切断电源并清理现场,防止留下事故隐患。......
2023-06-27
-
渗透测试发现多个漏洞,获得服务器管理权限,敲详细阅读
针对扫描发现的SQL注入漏洞、任意文件上传漏洞和默认管理后台泄露进行渗透测试。图3Burpsuite暴力破解后台口令通过此次渗透测试,我们发现客户虽然针对服务器和网站进行了安全加固,但忽视了服务器中其他网站的安全加固,导致测试人员成功获取了服务器的管理权限,能够任意添加、删除、修改文件,甚至直接格式化硬盘。经过此次渗透测试,企业进一步认识到安全是一个整体,更是一个长期不断完善的过程。......
2023-10-21
-
基于JSP的Web网站程序设计教程详细阅读
用户在浏览器窗口看到的页面内容是浏览器执行HTML程序的结果,因此掌握好HTML编程是开发Web程序的基础。HTML程序文件是普通文本文件,与平台无关,可用任何文本编辑器进行编辑。HTML程序文件的扩展名是“.htm”或“.html”。使用标记时要定义标记的属性,否则将采用HTML的默认属性。代表网页文本用蓝色显示,使用图形文件作为网页的背景,图形文件的URL地址是“d:\color.gif”。......
2023-11-19
相关推荐