论文部分内容阅读
互联网时代,新技术不断出现。但与此同时木马病毒泛滥,黑客攻击频繁,网络威胁日益严重,普通的防护措施不足以抵御黑客的入侵,那么如何保障网络信息安全?答案是进行渗透测试。渗透测试是模拟黑客攻击的一种行为。在真正的黑客攻击之前先由安全人员进行渗透测试,用黑客的技术、黑客的方法查找系统可能存在的漏洞,并进行及时的修复,从而消除隐患,保卫网络安全。本文对渗透测试进行研究,然而,渗透测试当前在理论和实践两方面均存在问题。理论上,当前渗透测试流程太宽泛,缺乏具体的行动指南,渗透测试方法又太分散,不能形成统一整体;实践中,渗透测试人员水平又参差不齐,缺乏具体的学习途径。本文一方面从理论的角度对渗透测试进行研究。将渗透测试对象视为一个整体,以WEB应用为核心,将其划分为操作系统层、数据库层、中间件层、脚本应用层和系统外层五个层次,并以这WEB应用安全五层结构为基础,进一步提出了渗透测试路线图,为渗透测试者提供指引。实践中,为了提高渗透测试者的测试技能,本文的重点是设计并实现了渗透测试演练平台。该平台分为控制端、攻击端和靶场网络三个组成部分,整体设计为一个攻击者在控制端的指引下对靶场网络进行渗透测试的模拟演练系统。靶场网络为一个充满漏洞的网络系统。攻击端则提供渗透测试攻击工具和渗透测试学习资料。控制端实现了一个WEB网站系统,采用了php+mysql架构。目的是为测试者提供测试任务和学习帮助,引导测试者进行攻击。使得测试者在攻击演练的过程中能不断地学习和进步。本文对渗透测试演练平台进行了功能验证。其结果符合预期,并以SQL注入——获取管理员密码——植入WEBSHELL——权限提升的完整示例详细展示了在本渗透测试的演练平台之上进行的攻击演练过程。