Web安全滲透測(cè)試研究.pdf

1、隨著Internet的發(fā)展，Web應(yīng)用已經(jīng)成為許多公司與外界進(jìn)行業(yè)務(wù)往來(lái)的通用渠道。Web技術(shù)廣泛部署于目前的信息系統(tǒng)中。但對(duì)于惡意攻擊者來(lái)說(shuō)，這為他們提供了兩個(gè)機(jī)會(huì)：第一，http和https通信流通常是能夠正常通過防火墻和過濾技術(shù)的信息流。第二個(gè)機(jī)會(huì)在于不斷增加的Web漏洞。
　　 針對(duì)不斷出現(xiàn)的Web安全問題，本文著重研究了危害Web應(yīng)用程序的兩種主要漏洞，SQL注入和XSS漏洞，并研究了Web安全滲透測(cè)試技術(shù)。
　

2、　 本文的主要工作有以下幾方面：
　　 1)通過搭建本地分析環(huán)境，深入分析了SQL注入和XSS漏洞的形成原因；
　　 2)通過Wireshark抓包，對(duì)現(xiàn)有一些SQL注入檢測(cè)工具進(jìn)行分析比較，分析了不同工具對(duì)SQL注入漏洞檢測(cè)的方法和檢測(cè)字符；
　　 3)根據(jù)分析的SQL注入和XSS漏洞的檢測(cè)方法，對(duì)一些實(shí)際網(wǎng)站和TRP項(xiàng)目相關(guān)網(wǎng)站進(jìn)行了滲透測(cè)試和風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)了一些危害較大的漏洞，從而說(shuō)明設(shè)計(jì)的方法在一定程度