【摘要】渗透技术是网络安全防护的一种新技术,对网络安全有重大的意义。运用多种渗透技术相结合的方式对目标网络安全进行检测的过程即渗透测试。渗透测试是一项专业的信息安全服务,并且逐渐在国内得到越来越多的应用。 目前，国内渗透测试虽然在理论、实践上还处于起步阶段，但是，市场应用空间巨大。本文以一个攻击者的身份对某某企业网络系统进行了渗透测试。论文分析总结了渗透测试的方法、流程、步骤。给出了详细渗透测试某某企业网络系统的过程。最后总结了某某企业存在的网络安全问题，并提出了整改方案。本文主要工作如下：遵循渗透测试PTES标准，通过信息搜集、目标判别、漏洞扫描获取企业网络相关信息；实施攻击阶段涉及网络安全多个领域实例，web安全黑盒测试、web代码审计、二进制漏洞分析利用（ms08067分析与利用）、主机安全加固、局域网欺骗攻击等多领域渗透技术。

【关键词】：网络安全；渗透测试；风险评估

目录

摘要

Abstract

第一章  绪论-1

1.1 课题背景及意义-1

1.2 渗透测试对企业网络安全的意义-1

1.3 渗透测试的分类-2

1.4 论文中的主要研究内容-2

第二章  渗透测试方法及流程-3

2.1 渗透测试方法-3

2.2 渗透测试实施流程-4

2.2.1 制定渗透测试方案-4

2.2.2 目标系统信息收集分析-4

2.2.3 攻击实施-5

2.2.4 进行风险分析和生成测试报告-5

2.3 渗透测试中的用例管理-5

2.4 渗透测试中的风险控制-6

2.5 小结-6

第三章 某某企业渗透测试-7

3.1 某某企业环境介绍-7

3.2 实施渗透测试-8

3.2.1 前期交互阶段-8

3.2.2 情报收集阶段-9

3.2.3 威胁建模阶段-11

3.3 渗透测试攻击阶段-12

3.3.1 某某企业门户安全测试（黑盒测试）-12

3.3.3 缓冲区溢出漏洞分析与利用-19

3.3.4 中间人攻击-32

第四章 某某企业风险汇总-35

4.1 主机系统脆弱性分析-35

4.2 应用系统脆弱性分析-35

第五章 某某企业主机安全加固策略-37

第六章 总结-40

致谢-41

参考文献-42