WEB应用风险扫描的研究与应用

来源:IT专家网  
2011/4/19 15:38:18
随着互联网的发展,金融网上交易、政府电子政务、企业门户网站、社区论坛、电子商务等各类基于HTML文件格式的信息共享平台(WEB应用系统)越发完善,深入到人们生活中的点点滴滴。

本文关键字: WEB应用 安全

5. 模拟渗透测试—取证与深度评估

5.1 模拟渗透测试

通常我们所理解的渗透测试,是指具有丰富安全经验的安全专家,在对目标系统一无所知的情况下,通过收集系统信息,进行具有针对性的安全攻击和入侵,获取系统管理权限、敏感信息的一个过程。这包括三个要素:丰富安全经验的安全专家(人)、系统漏洞(漏洞检测)、权限获取或信息获取(取证)。由于组织内部一般并不具备具有专业渗透技术的安全专家,所以通常依靠于第三方安全公司。渗透测试的过程中,虽然签署了一系列的保密协议,但是不可避免地会发生组织内部信息泄露的风险。

结合大量优秀安全专家的渗透测试经验,以及对各类WEB应用安全漏洞的显性分析(即如果存在该漏洞,其具体表现是什么),在完成网站中各个页面的漏洞检测后,对所存在的安全漏洞进行验证,即获取相应的权限或信息,达到模拟渗透测试的效果,不仅可以大大降低漏洞检测的误报率,准确呈现该漏洞的存在和取证;而且可以在一定程度上替代第三方的渗透测试人员,自主进行安全扫描,降低信息泄露的风险。

5.2 安全漏洞取证分析

对安全漏洞的取证分析,在此以SQL注入漏洞为例进行简要描述。

SQL注入类型根据原理可以分为以下几类:数值型、字符型、搜索型、错误型、杂项型。在检测出相关注入漏洞后, 根据不同后台数据库, 采用不同的数据库注入策略包来进行进一步的取证和渗透。图2讲述了SQL注入检测的流程:通过网络爬虫获取的URL,成为SQL注入检测的输入,通过图2流程完成SQL注入、渗透和审计。


 

共4页: [1] [2] [3]4 下一页
责编:刘书畅
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map