基于Kali Linux的Web渗透测试研究 被引量：14

1

作者 徐光 《信息安全与技术》 2015年第3期56-58,共3页

随着互联网应用的广泛普及,互联网在社会生活各个方面发挥着越来越重要的作用。与此同时,Web应用系统的安全面临着严峻考验,Web渗透测试技术已成为保障Web安全的一种重要手段。文章在研究Web系统安全脆弱性及常见漏洞基础上,通过分析黑... 随着互联网应用的广泛普及,互联网在社会生活各个方面发挥着越来越重要的作用。与此同时,Web应用系统的安全面临着严峻考验,Web渗透测试技术已成为保障Web安全的一种重要手段。文章在研究Web系统安全脆弱性及常见漏洞基础上,通过分析黑客Web攻击的基本步骤,提出一种基于Kali Linux进行Web渗透测试的方法,以实现评估和提高Web应用系统安全的目的。 展开更多

关键词 web安全 渗透测试 Kali LINUX

下载PDF 职称材料

文件上传漏洞的攻击方法与防御措施研究 被引量：9

2

作者 郝子希 王志军 刘振宇 《计算机技术与发展》 2019年第2期129-134,共6页

简述了当今社会信息安全的重要性,说明了渗透测试技术中文件上传漏洞的基本原理,列举了文件上传漏洞能够造成的危害,对文件上传漏洞进行详细分析。由于文件上传漏洞一般伴随着服务器解析漏洞出现,结合三种不同的Web应用容器(IIS、Apache... 简述了当今社会信息安全的重要性,说明了渗透测试技术中文件上传漏洞的基本原理,列举了文件上传漏洞能够造成的危害,对文件上传漏洞进行详细分析。由于文件上传漏洞一般伴随着服务器解析漏洞出现,结合三种不同的Web应用容器(IIS、Apache、PHP)的解析漏洞,解释文件上传漏洞与服务器解析漏洞之间的关系,详细说明文件上传漏洞出现的原因;从Web站点的两种上传文件验证方式—客户端验证和服务器端验证阐述了相应的攻击技巧,通过对五种攻击方法(绕过客户端验证、绕过黑名单与白名单验证、绕过MIME验证、绕过目录验证和截断上传攻击)的具体实验描述了对文件上传漏洞的攻击过程,并给出了实验代码;最后针对实验中的攻击方法,提出了四类文件上传漏洞的有效防御措施,并对全文进行总结,对未来提出展望。 展开更多

关键词 渗透测试 文件上传 网络安全 网络攻击 web漏洞

下载PDF 职称材料

基于自动化渗透测试的分析 被引量：6

3

作者 李浩杰 裘国永 《电子设计工程》 2015年第22期25-28,共4页

当前,Web应用日益成为信息共享和资源发布的重要平台。然而,根据开放式Web应用程序安全项目最新公布的2013十大安全漏洞,目前的Web应用正在面临着诸多安全挑战。因此,在部署Web应用程序之前,对其进行安全性的渗透测试就显得尤为重要。... 当前,Web应用日益成为信息共享和资源发布的重要平台。然而,根据开放式Web应用程序安全项目最新公布的2013十大安全漏洞,目前的Web应用正在面临着诸多安全挑战。因此,在部署Web应用程序之前,对其进行安全性的渗透测试就显得尤为重要。而自动化Web安全漏洞的渗透测试工具就成为了首选。在本论文中,通过3款知名的漏洞扫描器对20个公开的可用web应用程序进行测试评估,验证了Web应用程序中存在的安全缺陷。对比3款扫描器的检测结果,不同的扫描器会检测到不同类型的漏洞以及自动化扫描工具在对Web应用程序的漏洞检测方面的局限性。 展开更多

关键词 漏洞扫描器 渗透测试 web安全 评估

下载PDF 职称材料

模型驱动的Web应用SQL注入渗透测试 被引量：5

4

作者 田伟 许静 +2 位作者 杨巨峰 张莹 刘磊 《高技术通讯》 CAS CSCD 北大核心 2012年第11期1161-1168,共8页

针对结构化查询语言（SQL）注入渗透测试用例不充分造成测试漏报的问题，对基于形式化建模生成渗透测试用例问题进行了研究，提出了以下方法：将SQL注入漏洞渗透测试用例生成分为两步：第1步建立渗透测试用例的形式化模型，以用例模型... 针对结构化查询语言（SQL）注入渗透测试用例不充分造成测试漏报的问题，对基于形式化建模生成渗透测试用例问题进行了研究，提出了以下方法：将SQL注入漏洞渗透测试用例生成分为两步：第1步建立渗透测试用例的形式化模型，以用例模型更全面、有规律地描述当前各种SQL注入攻击的方法模式，指导生成更多种类的用例输入；第2步提出若干新的SQL注入漏洞渗透测试用例覆盖度准则，将用例模型实例化、生成覆盖更多样式的用例输入。实验表明，用上述方法生成的用例，优于当前其它研究中使用的随机枚举用例，可更有效地测出隐藏于Web应用不足防御措施之后的SQL注入漏洞，从而降低渗透测试结果的漏报。 展开更多

关键词 web 渗透测试 结构化查询语言(SQL)注入 攻击建模 安全漏洞 用例

下载PDF 职称材料

基于渗透测试的跨站脚本漏洞检测方法研究 被引量：5

5

作者 王强 蔡皖东 姚烨 《计算机技术与发展》 2013年第3期147-151,共5页

目前,跨站脚本漏洞已经成为互联网上最为严重的安全漏洞之一,文中针对跨站脚本漏洞的自动化检测问题,提出了一种基于渗透测试的检测方法。在向Web服务器提交攻击向量之前,对检测点使用合法输入进行探测,通过与Web服务器的一次交互可以... 目前,跨站脚本漏洞已经成为互联网上最为严重的安全漏洞之一,文中针对跨站脚本漏洞的自动化检测问题,提出了一种基于渗透测试的检测方法。在向Web服务器提交攻击向量之前,对检测点使用合法输入进行探测,通过与Web服务器的一次交互可以排除一部分不包含跨站脚本漏洞的检测点,从而大量减少在分析检测点阶段与Web服务器交互的次数。另外,通过对获取的检测点进行去重,可有效防止对不同页面中相同检测点的重复检测。实验结果表明,该方法可有效提高跨站脚本漏洞的检测效率。 展开更多

关键词 跨站脚本漏洞 渗透测试 web安全 COOKIE

下载PDF 职称材料

互联网企业Web系统易忽视漏洞分析 被引量：5

6

作者 潘志岗 《信息安全研究》 2020年第2期181-187,共7页

随着数字产业的快速发展,互联网企业的数量逐年增长.相比于其他类型的企业,互联网企业的一个显著特征是主体业务基于大量Web系统,因此Web系统的高安全性在互联网企业中尤为重要.Web系统通过丰富的功能给用户带来便捷的同时也引入了许多... 随着数字产业的快速发展,互联网企业的数量逐年增长.相比于其他类型的企业,互联网企业的一个显著特征是主体业务基于大量Web系统,因此Web系统的高安全性在互联网企业中尤为重要.Web系统通过丰富的功能给用户带来便捷的同时也引入了许多安全问题,尤其是近些年频繁发生的用户隐私信息泄露事件,起因大多来源于Web系统的安全缺陷.越来越多的互联网企业开始建设安全应急响应中心,通过各方的安全力量对企业系统进行安全测试和评估,进行安全漏洞的收集和处理,由此可见现代互联网企业对于安全的重视不断提高.基于Web系统的安全现状,通过分析归纳3类互联网企业中易被忽略的典型漏洞,并给出相应的解决办法,以提高互联网企业Web系统的安全性,保障用户信息安全. 展开更多

关键词 web安全 渗透测试 跨站请求伪造 跨域资源共享 JSON劫持

下载PDF 职称材料

面向Web的攻击方式及防御对策 被引量：5

7

作者 李双远 谈国胜 《吉林化工学院学报》 CAS 2019年第3期47-53,共7页

网络安全问题一直随着互联网的发展和升级不断被强调,最终提升到国家的战略层面.我国成立了网络安全问题相关的领导组织和部门,有效的防范和解决网络安全所引发的问题.由此可见,网络安全愈发凸显其重要性.本文研究面向web的攻击方式及... 网络安全问题一直随着互联网的发展和升级不断被强调,最终提升到国家的战略层面.我国成立了网络安全问题相关的领导组织和部门,有效的防范和解决网络安全所引发的问题.由此可见,网络安全愈发凸显其重要性.本文研究面向web的攻击方式及防御对策,以此来提高网络运维人员和广大用户防范意识. 展开更多

关键词 web渗透 webshell获取 SQL注入 XSS攻击 DDOS攻击 社会工程学

下载PDF 职称材料

基于Python的Web页面自动登录工具设计与实现 被引量：1

8

作者 虞菊花 乔虹 《安徽电子信息职业技术学院学报》 2023年第3期19-22,28,共5页

在Web应用中,“登录”功能被广泛应用于用户身份的验证。从Web页面自动登录工具的保持会话需求、参数需求、登录需求和重定向需求出发,抓取并分析请求与响应数据包,确定Web应用的会话参数,完成了基于Python的Web页面自动登录工具设计与... 在Web应用中,“登录”功能被广泛应用于用户身份的验证。从Web页面自动登录工具的保持会话需求、参数需求、登录需求和重定向需求出发,抓取并分析请求与响应数据包,确定Web应用的会话参数,完成了基于Python的Web页面自动登录工具设计与实现,并以DVWA漏洞集成网站为靶场对工具进行有效性测试,验证了页面自动登录工具的可用性。 展开更多

关键词 web页面自动登录 Python工具 web渗透

下载PDF 职称材料

基于Web渗透测试的SQL注入研究 被引量：4

9

作者 李鑫 《信息与电脑》 2020年第3期164-166,共3页

近年来,随着网络信息技术的快速发展,人们越来越重视网络安全,相对于传统的网络安全问题,网站作为人们日常生活不可或缺的工具,如何保障用户的上网安全成为当前人们研究的重点。为了提高网站的安全系数,人们将研究的重点转向对Web渗透... 近年来,随着网络信息技术的快速发展,人们越来越重视网络安全,相对于传统的网络安全问题,网站作为人们日常生活不可或缺的工具,如何保障用户的上网安全成为当前人们研究的重点。为了提高网站的安全系数,人们将研究的重点转向对Web渗透技术的研究,采用模拟的形式完成整个攻击过程,从而评估防护机制的安全性,并在进行针对性的修复之前找出各种安全漏洞。根据目前对于网络渗透技术的研究,笔者首先分析了黑客渗透测试在攻击网站过程中面临的难点以及可能会出现的安全漏洞,进而分析了SQL注入攻击,最后分析了基于Web渗透测试的SQL注入。 展开更多

关键词 SQL注入 渗透测试 web

下载PDF 职称材料

网络安全测评中Web应用安全渗透测试方法分析 被引量：3

10

作者 王鑫 《无线互联科技》 2023年第4期165-168,共4页

渗透测试是网络安全测评工作中的实践补充及论证,其可以对网络安全的风险评定提供更多有力的参考依据及支撑。基于此,文章首先对Web应用的基本理论展开详细分析,重点阐述网络安全测评中Web应用安全渗透测试的具体方法。通过研究可以发现... 渗透测试是网络安全测评工作中的实践补充及论证,其可以对网络安全的风险评定提供更多有力的参考依据及支撑。基于此,文章首先对Web应用的基本理论展开详细分析,重点阐述网络安全测评中Web应用安全渗透测试的具体方法。通过研究可以发现,安全渗透测试方法在网络安全测评中具有良好的应用效果,可以帮助人们有效识别系统程序中的隐患,增强安全防护工作效果。 展开更多

关键词 网络安全测评 web应用 安全渗透 测试方法

下载PDF 职称材料

基于WebGoat的渗透测试教学平台开发与应用 被引量：3

11

作者 董晓露 王小军 +3 位作者 王玥 王聪 孙雯 谢于宁 《大众科技》 2015年第3期131-133,158,共4页

当前信息安全形势下,大部分高校开设了网络安全课程,其中渗透测试技术的学习举足轻重。文章分析了各类常用的渗透测试工具,并着重对Web Goat这一开源的渗透测试平台进行研究。从课程改进和关键界面汉化这两部分着手,使Web Goat能更好地... 当前信息安全形势下,大部分高校开设了网络安全课程,其中渗透测试技术的学习举足轻重。文章分析了各类常用的渗透测试工具,并着重对Web Goat这一开源的渗透测试平台进行研究。从课程改进和关键界面汉化这两部分着手,使Web Goat能更好地应用于实践教学,让学生在实践操作中更高效地学习掌握相关技术。 展开更多

关键词 web GOAT 渗透测试 教学应用

下载PDF 职称材料

Python在Web渗透测试中的应用 被引量：1

12

作者 吴文绛 《信息与电脑》 2023年第24期227-229,共3页

文章讨论Python在Web渗透测试中的应用。首先,介绍Web渗透测试的背景和问题,强调安全性对于Web应用程序的重要性,详细分析Python工具和框架的应用。其次,探讨攻击技术和方法,包括常见的Web漏洞类型、Python在发现和利用漏洞中的应用以... 文章讨论Python在Web渗透测试中的应用。首先,介绍Web渗透测试的背景和问题,强调安全性对于Web应用程序的重要性,详细分析Python工具和框架的应用。其次,探讨攻击技术和方法,包括常见的Web漏洞类型、Python在发现和利用漏洞中的应用以及实际案例研究。文章研究表明,Python在Web渗透测试中能够发挥关键作用,有助于提高渗透测试的效率和准确性,确保Web应用程序的安全性。 展开更多

关键词 PYTHON 渗透测试 SQL注入 web漏洞

下载PDF 职称材料

基于web安全的渗透测试技术探讨 被引量：2

13

作者 巫冬 《四川职业技术学院学报》 2019年第5期160-163,共4页

随着互联网技术的快速发展和普及,Web安全正逐渐成为全民共同关注的问题,相关理论研究与实践探索也因此大量涌现。因此,本文将简单介绍基于web安全的渗透测试定义、目的、分类,以及渗透测试的手段,并深入探讨渗透测试的工作流程,希望能... 随着互联网技术的快速发展和普及,Web安全正逐渐成为全民共同关注的问题,相关理论研究与实践探索也因此大量涌现。因此,本文将简单介绍基于web安全的渗透测试定义、目的、分类,以及渗透测试的手段,并深入探讨渗透测试的工作流程,希望能够为业内相关人士提供参考。 展开更多

关键词 互联网 web安全 渗透测试

下载PDF 职称材料

Web应用渗透技术研究及安全防御方案设计分析 被引量：2

14

作者 贺云龙 《科技创新与应用》 2022年第29期189-192,共4页

渗透测试是评估Web应用安全性的重要技术方法,通过渗透测试能够准确识别Web安全漏洞,为Web应用安全设计提供依据,最大程度防范Web应用安全事件发生。该文介绍渗透测试技术概念与分类,分析Web应用渗透测试技术的流程,并针对Web应用漏洞... 渗透测试是评估Web应用安全性的重要技术方法,通过渗透测试能够准确识别Web安全漏洞,为Web应用安全设计提供依据,最大程度防范Web应用安全事件发生。该文介绍渗透测试技术概念与分类,分析Web应用渗透测试技术的流程,并针对Web应用漏洞设计出安全防御方案,期望对构建Web安全架构,消除Web安全威胁有所帮助。 展开更多

关键词 web应用 渗透测试 安全防御 技术流程 方案

下载PDF 职称材料

基于DVWA平台的渗透测试教学探索与实践

15

作者 容健昌 《计算机应用文摘》 2023年第9期24-26,共3页

随着我国社会信息化程度的深入发展,针对基于Web安全的攻击行为越来越多,若要更加客观地提供网络安全渗透测试教学环境,则必须以模拟真实Web应用渗透测试分析中的要求为依据,按照真实的渗透测试步骤,在实验室中进行渗透测试平台的搭建,... 随着我国社会信息化程度的深入发展,针对基于Web安全的攻击行为越来越多,若要更加客观地提供网络安全渗透测试教学环境,则必须以模拟真实Web应用渗透测试分析中的要求为依据,按照真实的渗透测试步骤,在实验室中进行渗透测试平台的搭建,以满足高校信息安全相关专业的教学需要。文章将实验室教学环境下配置Web应用渗透测试相关流程进行完善,以确保能够为学生网络渗透测试配置水平的提升奠定基础,旨在能够为高校网络安全渗透测试教学过程中配置基于DVWA靶机平台实验研究应用提供参考。 展开更多

关键词 DVWA 渗透测试 web安全 靶机

下载PDF 职称材料

基于Web方式的渗透攻击技术研究与对策 被引量：1

16

作者 苏文芝 李飞 《济源职业技术学院学报》 2009年第2期36-38,共3页

在我国的互联网中,基于Web方式的渗透攻击从2003年左右的荫芽状态,经历了2004～2005年的发展期,2006年至今已对普通互联网用户的网络隐私和虚拟资产利益构成严重侵害,对网站安全构成威胁。通过对渗透攻击技术机理和实现机制的分析,对渗... 在我国的互联网中,基于Web方式的渗透攻击从2003年左右的荫芽状态,经历了2004～2005年的发展期,2006年至今已对普通互联网用户的网络隐私和虚拟资产利益构成严重侵害,对网站安全构成威胁。通过对渗透攻击技术机理和实现机制的分析,对渗透攻击安全监测技术展开了深入研究。 展开更多

关键词 基于web 渗透攻击 威胁 安全监测技术

下载PDF 职称材料

Structured Query Language Injection Penetration Test Case Generation Based on Formal Description

17

作者 韩明 苗长云 《Journal of Donghua University(English Edition)》 EI CAS 2015年第3期446-452,共7页

Aiming to improve the Structured Query Language( SQL) injection penetration test accuracy through the formalismguided test case generation,an attack purpose based attack tree model of SQL injection is proposed,and the... Aiming to improve the Structured Query Language( SQL) injection penetration test accuracy through the formalismguided test case generation,an attack purpose based attack tree model of SQL injection is proposed,and then under the guidance of this model, the formal descriptions for the SQL injection vulnerability feature and SQL injection attack inputs are established. Moreover,according to new coverage criteria,these models are instantiated and the executable test cases are generated.Experiments show that compared with the random enumerated test case used in other works,the test case generated by our method can detect the SQL injection vulnerability more effectively. Therefore,the false negative is reduced and the test accuracy is improved. 展开更多

关键词 software security penetration test web application structured query language(SQL) injection test case

下载PDF 职称材料

基于Python的自动代理Web漏洞扫描器的设计与实现 被引量：2

18

作者 孟清 路贺俊 +1 位作者 刘对 高雨 《科技视界》 2020年第17期41-45,共5页

Web扫描器是提高网站安全性,让渗透效率快速提升不可或缺的一部分,现有的优秀扫描器的扫描功能都很强大,但是代理功能却并不强.本文开发了一款基于Python的自动代理Web漏洞扫描器,利用爬虫和asyncio技术维护一个动态的免费代理池,通过... Web扫描器是提高网站安全性,让渗透效率快速提升不可或缺的一部分,现有的优秀扫描器的扫描功能都很强大,但是代理功能却并不强.本文开发了一款基于Python的自动代理Web漏洞扫描器,利用爬虫和asyncio技术维护一个动态的免费代理池,通过随机调用代理池里的有效代理进行Web扫描.因为测试全程可以使用随机代理,所以即使出现多个代理被安全设备发现的情况下也能继续进行有效的测试,这将大大提高授权情况下的黑盒测试下的效率.同时爬虫还使用了多进程,布尔去重,广度优先爬取等技术进一步减少测试所需要的时间. 展开更多

关键词 代理扫描 渗透测试 web安全 爬虫

下载PDF 职称材料

基于被动信息收集的Web安全评估系统的设计与实现

19

作者 刘对 路贺俊 +1 位作者 孟清 高雨 《科技视界》 2020年第17期37-40,共4页

信息收集是渗透测试过程中不可或缺的一步,信息收集的方式可分为主动和被动,为了提高渗透测试人员在进行被动信息收集时的效率,本文开发了基于被动信息收集的Web安全评估系统.系统采用Python开发,利用Scrapy爬虫框架对第三方被动信息收... 信息收集是渗透测试过程中不可或缺的一步,信息收集的方式可分为主动和被动,为了提高渗透测试人员在进行被动信息收集时的效率,本文开发了基于被动信息收集的Web安全评估系统.系统采用Python开发,利用Scrapy爬虫框架对第三方被动信息收集网站进行数据爬取与整合,系统实现功能有对目标进行备案、Whois、子域名、子域名IP、子域名CMS、子域名Shodan、子域名漏洞信息的查询.在对目标进行上述7个方面的信息收集时,相较于传统方式此系统可帮助渗透测试人员在时间上提高近6倍的效率. 展开更多

关键词 被动信息收集 渗透测试 爬虫 web安全

下载PDF 职称材料

移动互联网Web应用渗透测试模型的设计

20

作者 张文凤 许盛伟 +1 位作者 池亚平 方勇 《北京电子科技学院学报》 2012年第4期46-52,共7页

针对现有的渗透测试模型未考虑到移动互联网环境下的一些安全漏洞问题,本文提出了移动互联网Web应用的渗透测试模型。该模型对移动互联网环境下渗透测试所涉及的各个模块进行系统的管理,并根据该渗透测试模型对手机银行业务进行了实际测... 针对现有的渗透测试模型未考虑到移动互联网环境下的一些安全漏洞问题,本文提出了移动互联网Web应用的渗透测试模型。该模型对移动互联网环境下渗透测试所涉及的各个模块进行系统的管理,并根据该渗透测试模型对手机银行业务进行了实际测试,测试结果表明该模型在提高渗透测试效率上具有有效性。 展开更多

关键词 移动互联网 移动终端 渗透测试 web应用 安全漏洞

下载PDF 职称材料