欢迎来到天天文库
浏览记录
ID:47693491
大小:422.08 KB
页数:12页
时间:2019-10-24
《渗透测试中发现的安全漏洞及其防范》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、渗透测试中发现的安全漏洞及其防范林標】,李禧2(1.中国邮政集团公司信息技术局运行维护部,北京100016;2.屮国联通北京市四区分公司市场营销部,北京100011)摘要:伴随着信息化建设的发展与进步,一方而,信息技术已深入各行各业;另一方而,信息安金问题也口益凸显。依据国家相关部门颁布的信息安全等级保护制度,信息系统运营单位应该定期对信息系统安全等级状况开展等级保护测评。渗透测试作为等级保护测评的重要一环,对信息系统的总体安全提出了较高要求。本文结合技术原埋,对信息系统渗透测试小发现的若干漏洞及其防范方案进行了讨论。关键词:数据女全与计算机安全;跨站脚木;后门程序中图分类号:
2、TN911.6SecurityvulnerabilitiesandpreventionsinpenetrationtestingLINLim,LIBei2(1.OperationAndMaintenanceDepartment,ITBureauOfChinaPostGroup,Beijing100016;2.MarketingDepartment,BeijingBranchOfChinaUnicom,Beijing100011)Abstract:Withthedevelopmentandprogressofinformationsystemconstruction,ontheo
3、nehand,informationtechnologyhasbeendeeplyusedintoallpartsoflife;ontheotherhand,informationsecurityissuesarealsoincreasing!y.Accordingtothelevelofinformationsecurityprotectionsystembyourcountry,informationsystemoperatingcompanyshouldregularlycarryoutevaluationontheirinformationsystems.Penetra
4、tiontestingasanimportantpartofinformationsystemevaluation,hasstrictrequirementsontheoverallsecurityofinformationsystems.Combinedwiththetechnicalprinciple,thesecurityvulnerabilitiesandpreventionsinpenetrationtestingwillbediscussedinthispaper.Keywords:Dataandcomputersecurity;Cross-sitescriptin
5、g;Backdooro引言信息安全等级保护是指对国家秘密信息、法人和其他纽织及公民的专冇信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统屮使用的信息安全产品实行按等级管理,对信息系统中的信息安全事件分等级响应、处置。等级测评是指测评机构依据国家信息安全等级保护制度规定,按照何关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。渗透测试是等级测评屮整体安全测评的一种手段。渗透测试是指渗透者完全模拟恶意黑客可能使川的攻击技术和漏洞发现技术,对被测系统的安全做深入的探测和评估,发现系统屮最脆弱的环节。渗透测试能够使网络管
6、理人员点观的了解口己网络可能出现的问题,能够知道入侵者可能利用的途径以及了解系统和网络安全强度。⑴下文将讨论渗透测试中常见的三个漏洞:跨站脚本漏洞、后门程序上传漏洞和Telnet远程访问漏洞。1跨站脚本漏洞跨站脚本漏洞攻击是指:攻击者将浏览器可执行脚本伪装为普通字符串发送给Web应作者简介:林標,(1985-),男,助理工程师,信息安全。E-mail:benang39@gmail.com用服务器,借助Web应用服务器将这些脚木推送至客户端浏览器执行,从而盗取客户端信息的攻击。1.1原理解析现冇Web网络应用大多基于B/S结构(Browscr/Scrvc)结构,与C/S结构相比,
7、B/S结构最核心的一点就是用浏览器取代了原有客八端程序。它使得主耍事务逻辑在服务器端实现,形成三层结构即:表示层、功能层、数据层。B/S体系结构把C/S结构的事务处理逻辑模块从客户机的任务屮分离出来,由单独纽成的一层来负担其任务,从而减轻了客户机的压力,服务器将担负更多的工作,对数据库的访问和应用程序的执行将在服务器上完成。因此应用程序在部署、升级、维护时,只需要在服务器端配置就可以了。图1传统的B/S结构图1是一个传统的B/S结构,它的具体交互步骤为:客户端打开页面后提交用户数据表单,服务
此文档下载收益归作者所有