目前,Web在互联网中得到了最为广泛的应用,Web的功能和交互性也在不断增强,承载的业务也越来越多,大量的数据存储在各种Web系统中。针对Web应用的攻击成为了攻击者的主要目标,Web应用安全成为了目前互联网的主要安全问题。当前Web安全威胁主要集中在Web数据处理、Web应用程序、Web业务流程等方面.如果程序员在设计系统、开发系统中没有充分考虑到安全因素,很容易遭到黑客的攻击,如 XSS、CSRF、SQL注入等攻击.这些都是因为Web应用程序或者Web数据处理存在的安全漏洞而导致的。
渗透测试是通过模拟黑客的攻击方法和漏洞发掘技术来评估计算机系统安全的一种评估方法,该方法是从攻击者角度发现分析系统的缺陷及漏洞,进而尝试利用某些漏洞对信息系统实现主动攻击的过程,从而评估系统存在的可能安全风险问题。主要研究Web中SQL注入、XSS 注入、文件上传漏洞、逻辑漏洞等的渗透测试方法。
通过在本地搭建一个渗透测试站点DVWA,模拟各种攻击方法对DVWA站点进行渗透,研究Web的渗透测试方法设计分析和防护措施。DVWA是一套集成了常见 Web 漏洞的php+mysql 系统,其中包含了暴力破解、SQL 注入、XSS、CSRF、文件上传等一系列的安全漏洞。
田鑫,专业的企业组网服务商,致力于为企业提供企业组网(SD-WAN、MPLS、云互联),业务云化、数据中心、网络安全、行业IT解决方案等相关服务。