摘要:渗透测试是利用渗透测试人员模拟黑客结合渗透测试人员的经验和渗透测试工具对网络中的服务器和WEB应用系统进行一次类似于非破坏性的黑盒测试，它可以有效的帮助管理员发现系统中存在的漏洞并提供修复建议。本文中的渗透测试研究主要是从信息收集、配置管理、认证和数据验证这4个方面着手，结合渗透测试工具还原一个完整的渗透测试思路和流程。通过信息收集能初步掌握系统的端口开放情况，版本信息，错误代码和敏感目录等信息。通过安全测试可以得到系统存在的WEB应用漏洞如弱口令、认证绕过、上传下载、跨站脚本、注入等漏洞。

关键词：渗透测试；黑客；漏洞

目录

摘要

ABSTRACT

1.绪论-1

1.1研究背景-1

1.2研究现状-1

1.3本文主要工作-2

2.WEB渗透测试与解决方案-3

2.1 渗透测试概述-3

2.2 风险管理及规避-4

2.2.1 时间-4

2.2.2 工具使用-4

2.2.3 技术手段-4

2.2.4 监控-4

2.2.5 目标的选择-4

2.3 收益-4

3. 渗透流程-6

3.1 信息收集-6

3.1.1 WEB应用发现-6

3.1.2 WEB应用识别-7

3.1.3 错误代码分析-7

3.1.4 robots、爬虫分析-7

3.2 安全测试-8

3.2.1 配置管理-8

3.2.2认证-10

3.2.3数据验证-14

4. 渗透成果-18

5. 总结与展望-19

5.1 总结-19

5.2 未来展望-19

致谢-20

参考文献-21