共查询到20条相似文献,搜索用时 15 毫秒
1.
李维峰 《网络安全技术与应用》2021,(3):5-6
渗透测试是在Web应用程序中查找漏洞的最佳方法,这也是大多数Web应用程序使用最广泛的安全测试策略。所谓Web应用程序渗透测试就是通过模拟从内部或外部发起的攻击,尝试访问系统中的敏感数据。渗透测试使用户可以确定整个Web应用程序及其各个组件(包括源代码,数据库和后端网络)的任何安全漏洞,这可以帮助开发人员确定已确定的漏洞和威胁的优先级,并提出缓解策略。 相似文献
2.
吴羽翔 《计算机光盘软件与应用》2014,(4):161-162
在Web渗透测试中,使用自动化工具进行漏洞利用向来是安全人员比较喜欢的一种手段。但随着Web应用的不断发展,传统的自动化安全工具已无法满足渗透测试员的需求。本文提出了一种全新的Web应用攻击模型,根据此模型设计了一个开放式的基于模块化设计的Web应用程序漏洞利用框架,并简述了其部分开发细节。该框架可以实现针对特定Web应用的定制化渗透测试并通过其高度自由的模块化定制实现各类拓展。 相似文献
3.
等保2.0是中国国家互联网信息办公室制定的网络安全标准,旨在保障我国互联网安全,其中包括渗透测试内容。渗透测试是指企业的信息安全测试,可以确保网络、应用程序和系统的安全性。渗透测试就是测试人员使用攻击手段,模拟黑客的攻击方式,以达到及时发现的漏洞,分析和评估漏洞的危害度,提供针对漏洞及时、有效的修复方案,使信息、业务在网络中得到保护。本篇文章从以下几个方面介绍等保2.0中的渗透测试。 相似文献
4.
5.
6.
针对当前web应用程序漏洞的研究现状,文章设计出新型的面向Web应用的漏洞检测和挖掘系统,以切合当前Web开发的需求。该系统能够实现网络爬虫、多线程任务调度、钓鱼链接识别、模糊协议处理、网页木马检测等各项关键技术,使漏洞检测更加准确、高效。在研究Web安全相关理论和人工智能的基础上,文章采用静态分析和动态分析相结合的办法实现了网页链接和内容的恶意检测、网页漏洞的动态注入测试。文章最后对各项算法以及系统进行测试,测试结果表明该系统能够满足已知各项漏洞的检测,并且达到各项技术指标,检测结果对于提升目标站点的安全级别效果显著。 相似文献
7.
一种Web应用的状态测试方法 总被引:8,自引:0,他引:8
Web应用相对于传统的应用程序具有自身的特点,对软件测试提出了新的要求。文章从状态测试的角度讨论对Web应用的测试问题。文章在研究Web应用体系结构的基础上给出了一个Web应用程序的定义,随后结合一个Web应用程序的例子详细讨论了状态测试的方法以及在Web测试上的应用。 相似文献
8.
攻击者可利用Web应用程序中存在的漏洞实施破坏应用功能、木马植入等恶意行为。针对Web应用程序的访问控制漏洞的检测问题,现有方法由于代码特征难提取、行为刻画不准确等问题导致误报率和漏报率过高,且效率低下。文中提出了一种基于状态偏离分析的Web访问控制漏洞检测方法,结合白盒测试技术,提取代码中与访问控制有关的约束,以此生成Web应用程序预期访问策略,再通过动态分析生成Web应用程序实际访问策略,将对访问控制漏洞的检测转换为对状态偏离的检测。使用提出的方法开发原型工具ACVD,可对访问控制漏洞中未授权访问、越权访问等类型的漏洞进行准确检测。在5个真实Web应用程序中进行测试,发现16个真实漏洞,查全率达到了98%,检测效率较传统黑盒工具提升了约300%。 相似文献
9.
陈志伟 《网络安全技术与应用》2020,(4):22-24
由于Web存有大量的安全隐患问题,本文为此提出Web渗透实例分析与实践研究。以某医疗Web为例,对其进行渗透测试分析。运用NMAP和Burpsuite等工具对Web进行扫描,检测出Web存有注入类漏洞;通过Appscan、Wireshark等工具对Web找回密码过程发送的HTTP请求进行抓包,发现Web存有脚本类漏洞;通过X-Scan扫描器扫描,发现Web服务器中web.coinsdf明文存储了数据库的账户连接信息,证明Web存在配置类漏洞;经渗透测试,表明该医疗Web以注入漏洞、失效身份认证、跨网站脚本(XSS)三种问题漏洞数量最多。Web渗透实践过程中需要经历目标搜索、信息收集、漏洞探索、漏洞利用、内网转发、内网渗透、痕迹清除、撰写测试等流程,以此来能保证渗透结果的有效性。 相似文献
10.
随着Web应用的功能日趋复杂,其安全问题不容乐观, Web应用安全性测试成为软件测试领域的研究重点之一.漏洞报告旨在记录Web应用安全问题,辅助Web应用测试,提升其安全性与质量.然而,如何自动识别漏洞报告中的关键信息,复现漏洞,仍是当前的研究难点.为此,本文提出一种自动化的漏洞报告理解和漏洞复现方法,首先,依据漏洞报告的特点,归纳其语法依存模式,并结合依存句法分析技术,解析漏洞描述,提取漏洞触发的关键信息.其次,不同于常规自然语言描述, Web漏洞的攻击负载通常是非法字符串,大多以代码片段的形式存在,为此,本文针对攻击负载,设计提取规则,完善漏洞报告中攻击负载的提取.在此基础上,考虑漏洞报告与Web应用文本描述不同但语义相近,提出基于语义相似度的漏洞复现脚本自动生成方法,实现Web应用漏洞的自动复现.为验证本文方法的有效性,从漏洞收集平台Exploit-db的300余个Web应用项目中收集了400份漏洞报告,归纳出其语法依存模式;并针对23个开源Web应用涉及的26份真实漏洞报告进行漏洞复现实验,结果表明本文方法可有效提取漏洞报告的关键信息,并据此生成可行测试脚本,复现漏洞,有效减少... 相似文献
11.
文章从免费电子邮件的漏洞着手,研究了Web应用程序的技术缺陷以及服务器端和客户端Web应用程序的安全措施。 相似文献
12.
13.
目前,Python程序已广泛应用在爬虫开发、云计算开发、人工智能等领域,尤其是游戏领域,国内外学者针对Python程序的应用进行了系统的研究。基于此,针对Python程序在游戏开发中的应用进行深入研究,分别分析了Python在游戏中的3个主要应用程序,指出Web开发、数据科学和脚本编写的工作过程,从编写、调试、调度和运行4个方面探究了Python程序在游戏开发中的应用路径。研究结果表明,Python程序具有很强的编写能力,能够很好地降低工作难度,提高编写效率。 相似文献
14.
Internet/Intranet的飞速发展和普遍应用,Internet/Intranet上应用程序的需求越来越多,于是Jaya、ASP、JSP和AcfiveX Form应运而生。WebService服务应用程序对开发者提出了更高要求,IIS存在漏洞,ASP安全性能较差。影响了web应用程序的推广。Borland公司推出的Delphi语言开发工具从3.0版本开始支持Web应用程序开发,具有速度快,安全性好,功能强大的特点,弥补了ASP语言的不足,文章讨论了运用Delphi开发Web服务应用程序的方法。 相似文献
15.
16.
17.
Web服务的应用越来越广泛,Web服务中的安全缺陷与漏洞也在不断增多,Web服务安全性问题日益突出。Web服务安全性测试是保证Web服务软件安全性、降低安全风险的重要手段。本文提出了一种Web服务安全性测试框架,论述了Web服务主要的安全功能需求、实现标准及实施安全功能测试的一般原理,并从攻击Web服务的角度对Web服务安全漏洞测试进行了系统介绍,分析了Web服务常见的安全漏洞及测试方法。 相似文献
18.
19.
文件上传漏洞是常见的Web应用系统网络安全漏洞,攻击者往往通过上传恶意脚本对系统的服务器进行劫持和非法操作,危害较大。基于此,分析了Web应用系统文件上传漏洞的基本情况和漏洞的渗透测试思路,并针对漏洞的特点提出了修复措施。 相似文献
20.
Web应用程序运行中容易受到SQL常规注入、二阶注入或盲注攻击影响,带来Web系统数据、用户隐私或敏感数据的安全威胁。为降低SQL注入对系统漏洞攻击影响,提出一种用于Web应用程序、服务器端的模糊测试漏洞检测技术,建立了模糊测试的SQL注入漏洞检测模型框架,使用漏洞检测框架的信息收集模块、模糊检测模块,按照关键字编码、大小写混合编码、结构化查询(Structured Query Language, SQL)语句注释、重组绕过等检测流程完成0级、1级、2级漏洞的参数查询和分级检测。最后利用ASP.NET、Microsoft Visual Studio、IIS服务器等软硬件搭建实验环境,对基于模糊测试技术SQL注入漏洞检测模型进行实验论证,仿真实验结果得出:基于模糊测试法的SQL注入漏洞检测模型,相比于程序切片(chopping)技术的Web应用源代码SQL注入攻击检测方法而言,在不同分级漏洞检测中的确认、检测效果更优(达到90%以上)。 相似文献