黑客攻击趋势已经从网络层转向了应用层,利用软件漏洞成功实施攻击的案例越来越多,传统安全体系已经无法做出有效防护。近年来我国网络建设和信息化建设步伐不断加快,国家重要信息系统业务模式与互联网紧密融合,在给国家带来巨大经济效益的同时,也给网络安全和管理风险带来了严峻的挑战,我部门的职能之一就是要做好国家重要信息系统重大安全漏洞分析和隐患的发现工作。根据Gartner的调查,信息安全攻击有75%都是发生在Web应用层而非网络层面上。同时数据也显示,2/3的Web站点都相当脆弱,易受攻击。渗透测试是发现Web系统安全隐患很好的手段。在国外,对于渗透性测试的研究以美国为代表的信息化发达国家早已经起步,几乎影响着全世界在风险评估领域的概念、观念和理念。目前我们国家的Web系统结构十分复杂,所集成的软件也各不相同,故而必须对渗透性测试方法和手段进行研究,这样才能适应Web系统安全渗透性测试的需求,建立可信的信息化工作体系。本文从Web系统安全风险点出发。根据OWASP提出的前十大安全风险列表,并根据实际项目经验深入分析了Web系统常见的高风险漏洞,设计了整个渗透测试的流程,并详细介绍了各个流程内容。同时,本文研究了渗透测试风险规避与应急措施。在文章的最后分多个层次整理出了常用到的渗透测试工具列表。本文主要工作总结如下：1.根据OWASP发布的高风险列表以及实际项目经验,深入分析了Web系统常见的高风险漏洞攻击原理、危害和防范措施,包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞和安全配置错误。2.设计渗透测试的流程和内容,分为5个阶段包括准备阶段、信息搜集阶段、渗透测试阶段(高风险弱点的利用、普通弱点的利用)、风险分析阶段和报告编写阶段,结合实际讨论了每个阶段应该完成的内容,并阐述了这些阶段不一定是顺序执行的,它们之间存在联系。最后,给出了一个应用测试方案完整实例。3.提出渗透测试过程中是存在风险的,需要对渗透测试阶段的风险进行规避与应急,尤其是要做好重要数据的备份,否则后果是灾难性的。4.为了提高渗透测试效率,需要借助自动化的渗透测试工具。本文最后从系统自带、免费以及商业版等角度整理归纳了常见的渗透测试工具,并罗列了主要的功能。另外本文也强调了由于时间、技术水平等多因素影响,通过一次渗透测试不可能发现系统存在的所有安全隐患。同时为了不对测试目标造成破坏,对于某些可能会对测试对象造成负面影响的攻击方法和手段,在渗透测试中也不建议使用。