什么是web渗透 _web渗透

绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证应用本身的安全，给黑客以可乘之机。当今世界，Internet(因特网)已经成为一个非常重的基础平台，很多企业都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断地完善和提高，然而在非常重要的安全性上，却没有到足够的重视。
由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐渐转移到了对Web应用的攻击上。根据 Gartner的调查，信息安全攻击有75%都是发生Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击，然而现实却是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意上保证Web应用本身的安全，给黑客以可乘之机。

文章插图

一、Web安全介绍
1.1 什么是Web应用
Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上，用户在Web浏览器上发送请求，这些请求使用HTTP协议，经过因特网和企业的Web应用交互，由Web应用和企业后台的数据库及其他动态内容通信。
1.2 Web应用的架构
尽管不同的企业会有不同的Web环境搭建方式，一个典型的Web应用通常是标准的三层架构模型。
在这种最常见的模型中，客户端是第一层；使用动态Web内容技术的部分属于中间层；数据库是第三层。用户通过Web浏览器发送请求( request)给中间层，由中间层将用户的请求转换为对后台数据的查询或是更新，并将最终的结果在浏览器上展示给用户。

二、Web安全渗透测试分析
2.1 什么是Web渗透测试
渗透测试( Penetration Test)是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节。渗透测试能够直观地让管理人员知道自己网络所面临的问题。而Web渗透测试主要是对Web应用程序和相应的软硬件设备配置的安全性进行测试。
进行Web渗透测试的安全人员必须遵循一定的渗透测试准则，不能对被测系统进行破坏活动Web安全渗透测试一般是经过客户授权的，采用可控制、非破坏性质的方法和手段发现目标服务器、Web应用程序和网络配置中存在的弱点。它的适用范围即可以在Web系统发布之前进行安全测试，也可以在系统发布之后，持续跟踪渗透测试Web系统，从而在最大限度上保证Web系统的安全。

文章插图

2.2 web安全渗透测试分类
实际上，渗透测试并没有严格的分类方式。
2.2.1 根据渗透类别分类：
1）黑箱测试
黑箱测试又被称为所谓的“Zero-Knowledge Testing”，渗透者处于完全对系统一无所知的状态，通常这类型测试，最初的信息获取来自于DNS、Web、 Email及各种公开对外的服务器。
2) 白盒测试
白盒测试与黑箱测试恰恰相反，测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料甚至网站或其它程序的代码片断，也能够与单位的其它员工(程序员管理者等)进行面对面的沟通。
2.2.2 根据渗透目标分类:
1) 主机操作系统渗透
对 windows、 Solaris、AIX、 linux、SCO、SGl等操作系统本身进行渗透测试。
2) 数据库系统渗透
对MS-SQL、 Oracle，MySQL、 Informix、 Sybase、DB2等数据库应用系统进行渗透测试。
3) 应用系统渗透
对渗透目标提供的各种应用程序，如ASP、JSP、PP等组成的WWW应用程序进行渗透测试。
4) 网络设备渗透
对各种防火墙、入侵检测系统、网络设备进行渗透测试。

文章插图

2.3 Web安全渗透测试标准
由于渗透测试是一个比较复杂的系统工程，目前有许多不同的测试标准，主要有国家标准、安全组织标准等。因为对于攻击者来说，他们的目的只是为了达到攻克系统，获得系统控制权的任务。而对于安全测试人员来说，他们的任务是制定一套测试流程，尽可能高效地测试网络的安全性，所以对于Web安全测试来说，需要在现有的安全标准与测试流程中，总结提炼出一套行之有效的Web安全渗透测试内容和方法。
下面是目前的一些渗透测试标准：
2.3.1 国家级别的标准
1) 美国的信息安全测试和评估技术指南( Technical Guide to InformationSecurity Testing and Assessment) 。一个有效的风险管理过程是一个成功的IT安全项目的重要组成部分。这本指南是美国的国家标准，其有一定的权威性。其基本目标是为了保护机构，使其有能力完成们的任务，而不仅仅是保护他们的IT资产。这本指南具有一定方法论方面的指导意义