论文部分内容阅读
近年来随着各种重大Web安全事件的发生,对Web安全攻防技术的研究也越来越受到重视,被广泛研究的Web安全技术之一是Web渗透测试。Web渗透测试技术是从攻击者的角度考虑目标Web环境中可能存在的安全问题,利用攻击者可能使用的攻击手法发现其中存在的安全弱点,从而避免被恶意攻击者利用造成不必要的损失。本文研究了针对Web服务器及应用的渗透测试方法,主要研究工作如下: (1)为了准确获取Web服务器和应用的类型及版本信息,本文对Web指纹识别技术进行研究,构建了Web指纹库以及设计了Web指纹识别算法。 (2)为了准确判断是否存在特定类型的Web漏洞,本文分析了主流Web攻击的攻击模式,并抽象了相应的攻击向量,然后使用组合测试理论生成覆盖率高的攻击向量实例,极大的缩小了攻击向量空间。 (3)将Web指纹识别和Web攻击手法的攻击模式应用于渗透测试,并设计了一个实用的渗透测试架构,其主要设计思路是分别将Web指纹识别和攻击模式用于渗透测试的信息搜集阶段和攻击生成阶段。 本文的主要创新点如下: (1)与已有的Web指纹识别方法不同,本文通过对Web服务器和应用的研究,提取了可防止Banner欺骗的Web服务器指纹和不易被删除或修改的Web应用指纹。 (2)提出了一种基于Web指纹和攻击模式的渗透测试方法,通过获取特定Web环境的已知漏洞和缩小攻击向量空间,提高了Web渗透测试的工作效率。