浅谈Web渗透测试技术-《科技创新导报》(2019年17期).docx

龙源版权所有 浅谈Web渗透测试技术作者：肖鹏来源：《科技创新导报》2019年第17期 摘 要：随着Web2.0技术的发展，人们的生活随之改变。但带来的安全问题也困扰着网络用户，遭遇了前所未有的挑战。本文提出了几种Web安全问题，以及渗透测试方法，为保障Web安全提供了思路。 关键词：Web安全 信息泄露 渗透测试 中图分类号：TP316 文献标识码：A 文章编号：1674-098X（2019）06（b）-0132-02 1 web安全概述 Web2.0以后，计算机的Web应用发展的非常迅速，Web应用平台被应用到多个领域。在方便用户使用的同时，随之而来的安全问题也很多，造成信息泄露，严重影响了个人隐私，为生产生活带来了安全隐患。Web应用程序出现安全漏洞的原因有很多。首先，开发人员编写程序时没有进行统一的安全培训和编码规范，造成代码脚本出现漏洞。其次，对用户的输入没有进行验证，导致被黑客利用，提取数据库权限，造成信息泄露。还有，客户端的HTTP请求头被蓄意修改，让用户跳转到钓鱼网站，获取到用户的敏感信息，造成经济损失。因此Web网站的安全问题亟待解决。Web渗透测试技术是目前针对Web安全的防护技术，有效地对Web网站漏洞进行扫描，找到安全隐患。渗透攻击测试是建立模拟攻击黑客代码的攻击测试方法，用于测评网络服务器系统安全状况的一种测试评估方法[1]。本文介绍了Web应用存在的几种安全问题，以及相应的渗透测试方法。 2 web安全问题 2.1 SQL注入 SQL注入是利用拼接的SQL字符串改变了设计者原来的意图，执行如泄露数据、改变数据等操作，获取数据库的敏感信息，甚至控制数据库服务器。 2.2 XSS跨站脚本攻击 跨站点脚本是指在WEB服务器端html代码插入具有攻击目的的代码，当浏览器访问下载该页面过程中，其中的恶意脚本语句将被解释并执行，从而对客户端机器实现攻击。 2.3 文件上行传输漏洞 网络中获取文件过程中的漏洞一般是因网页中程序代码所含有上传路径变量过滤的过于疏忽产生的，比如上传程···试读结束