第一篇：Web網(wǎng)站滲透測試論文

---------------

裝 訂 線---------------

XXX職業(yè)技術(shù)學(xué)院 畢業(yè)設(shè)計(jì)（論文）

題目： Web網(wǎng)站滲透測試技術(shù)研究

系

(院)信息系 專業(yè)班級(jí) 計(jì)算機(jī)網(wǎng)絡(luò) 學(xué)

號(hào) 1234567890 學(xué)生姓名 XXX 校內(nèi)導(dǎo)師 XXX 職

稱 講師 企業(yè)導(dǎo)師 XXX 職

稱 工程師 企業(yè)導(dǎo)師

XXX

職

稱

工程師

摘 要： Web網(wǎng)站滲透測試技術(shù)研究

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用領(lǐng)域的擴(kuò)張，網(wǎng)絡(luò)安全問題越來越重要。相對(duì)于傳統(tǒng)的系統(tǒng)安全，Web網(wǎng)站的安全得到了越來越多的重視。首先，越來越多的網(wǎng)絡(luò)業(yè)務(wù)不再用專門的客戶機(jī)/服務(wù)器模式開發(fā)，而是運(yùn)行在Web網(wǎng)站上用瀏覽器統(tǒng)一訪問；其次，和比較成熟的操作系統(tǒng)安全技術(shù)比較，Web網(wǎng)站的安全防護(hù)技術(shù)還不夠完善，當(dāng)前黑客也把大部分注意力集中在Web滲透技術(shù)的發(fā)展上，使Web網(wǎng)站安全總體上面臨相當(dāng)嚴(yán)峻的局面。

為了確保Web網(wǎng)站的安全，需要采用各種防護(hù)措施。在各種防護(hù)措施中，當(dāng)前最有效的措施是先自己模擬黑客攻擊，對(duì)需要評(píng)估的網(wǎng)站進(jìn)行Web滲透測試，找到各種安全漏洞后再針對(duì)性進(jìn)行修補(bǔ)。

本文在對(duì)Web網(wǎng)站滲透測試技術(shù)進(jìn)行描述的基礎(chǔ)上，配置了一個(gè)實(shí)驗(yàn)用Web網(wǎng)站，然后對(duì)此目標(biāo)網(wǎng)站進(jìn)行了各種黑客滲透攻擊測試，找出需要修補(bǔ)的安全漏洞，從而加深了對(duì)Web安全攻防的理解，有利于以后各種實(shí)際的網(wǎng)絡(luò)安全防護(hù)工作。

關(guān)鍵詞：

網(wǎng)絡(luò)安全；Web網(wǎng)站；滲透測試

Web site penetration testing technology research

Abstract：

With the expansion of the network technology development and applications, network security issues become increasingly important.Compared with the traditional system security, Web security has got more and more attention.First, more and more network applications no longer develop with specialized client / server model, but run on the Web site and accessed by browser;Secondly, operating system security technology is relatively safe, but secure Web site protection technology is still not perfect, so the most of the current hackers’ attention focused on the development of Web penetration technology, the Web site is facing serious security situation in general.To ensure the security Web site, you need to use a variety of protective measures.In a variety of protective measures, the most effective measure is to own hacking simulation, the need to assess the Web site penetration testing, to find a variety of security vulnerabilities before specific repair.Based on the Web site penetration testing techniques described, the configuration of an experimental Web site, then this target site penetration of various hacker attack test, identify areas that need patching security holes, thereby deepening of Web security offensive understanding, there is conducive to future practical network security protection work.Keywords：

Network Security, Web sites, penetration testing

目錄

第一章 概述................................................................................................1

1.1 網(wǎng)絡(luò)安全概述..........................................................................................1 1.2 Web網(wǎng)站面臨的威脅...............................................................................1 1.3 Web滲透測試概述...................................................................................2

第二章 Web滲透測試方案設(shè)計(jì)...................................................................4

2.1 滲透測試網(wǎng)站創(chuàng)建..................................................................................4 2.2 滲透測試工具選擇..................................................................................4 2.3滲透測試方法...........................................................................................5

第三章 Web滲透測試過程...........................................................................6

3.1 掃描測試Web網(wǎng)站..................................................................................6 3.2 尋找Web安全漏洞..................................................................................7 3.3 SQL注入攻擊測試...................................................................................9 3.4 XSS跨站攻擊測試.................................................................................13 3.5 網(wǎng)馬上傳攻擊測試................................................................................17

第四章 Web網(wǎng)站防護(hù).................................................................................23

4.1 網(wǎng)站代碼修復(fù)........................................................................................23 4.2 其它防護(hù)措施........................................................................................24

總 結(jié).........................................................................................................25 參考文獻(xiàn).....................................................................................................25

第一章 概述

1.1 網(wǎng)絡(luò)安全概述

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)越來越多地滲透到當(dāng)前社會(huì)生活的方方面面，網(wǎng)上電子商務(wù)、電子政務(wù)、電子金融等業(yè)務(wù)日益普及，網(wǎng)絡(luò)上的敏感數(shù)據(jù)也越來越多，自然對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

根據(jù)一般的定義，網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。要做到這一點(diǎn)，必須保證網(wǎng)絡(luò)系統(tǒng)軟件、應(yīng)用軟件、數(shù)據(jù)庫系統(tǒng)具有一定的安全保護(hù)功能，并保證網(wǎng)絡(luò)部件，如終端、調(diào)制解調(diào)器、數(shù)據(jù)鏈路的功能僅僅能被那些被授權(quán)的人訪問。

在現(xiàn)實(shí)世界中，由于網(wǎng)絡(luò)相關(guān)的各種軟硬件安裝、配置、管理上面基本不可能做到?jīng)]有任何缺陷和漏洞，所以可以說不存在絕對(duì)的網(wǎng)絡(luò)安全。尤其在當(dāng)下網(wǎng)絡(luò)技術(shù)逐漸普及擴(kuò)散的情境下，防范各種形式的黑客攻擊是網(wǎng)絡(luò)資源管理者必須嚴(yán)肅考慮的問題。

根據(jù)黑客攻擊的類型，大致可以分為兩種，一種是直接針對(duì)操作系統(tǒng)本身或應(yīng)用軟件的安全漏洞進(jìn)行的攻擊，傳統(tǒng)的注入端口掃描、弱口令爆破、緩沖器溢出都屬于這種類型的攻擊，如果攻擊成功往往可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)，因此一旦出問題危害極大，但針對(duì)這種攻擊的防范技術(shù)也比較成熟，采用最新的安全操作系統(tǒng)、強(qiáng)大的防火墻和IDS入侵檢測系統(tǒng)可以將絕大部分入侵企圖拒之門外。另外一種就是針對(duì)動(dòng)態(tài)Web網(wǎng)站進(jìn)行的攻擊，它不像針對(duì)系統(tǒng)的攻擊那樣直接，成功后能在目標(biāo)系統(tǒng)上進(jìn)行的操作有限，往往還需要進(jìn)行提權(quán)等后續(xù)工作，但目前Web網(wǎng)站本身設(shè)計(jì)上的安全防護(hù)水平普遍不高，針對(duì)Web網(wǎng)站的防范措施目前也還不夠成熟，所以有安全問題的Web網(wǎng)站非常多，Web網(wǎng)站的攻防也是現(xiàn)在安全技術(shù)領(lǐng)域的研究熱點(diǎn)。

1.2 Web網(wǎng)站面臨的威脅

傳統(tǒng)上，網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)采用C/S（客戶機(jī)和服務(wù)器）模式，即開發(fā)出安裝在普通客戶計(jì)算機(jī)上的遞交申請(qǐng)業(yè)務(wù)模塊和安裝在高性能服務(wù)器上的響應(yīng)請(qǐng)求業(yè)務(wù)模塊，這樣做的好處是性能高，響應(yīng)速度快，但缺點(diǎn)是需要為每個(gè)業(yè)務(wù)專門開發(fā)不同的服務(wù)端和客戶端，開發(fā)和學(xué)習(xí)的成本也高，所以現(xiàn)在的趨勢是將所有的服務(wù)模塊都放到Web網(wǎng)站上，而客戶機(jī)統(tǒng)一使用瀏覽器去訪問Web網(wǎng)站去實(shí)現(xiàn)業(yè)務(wù)功能。

用Web網(wǎng)站形式開發(fā)網(wǎng)絡(luò)業(yè)務(wù)有不少優(yōu)點(diǎn)，首先是客戶端統(tǒng)一為瀏覽器、降低了這方面的學(xué)習(xí)成本，另一方面，Web網(wǎng)站的主流開發(fā)語言（ASP、PHP、JSP等）是動(dòng)態(tài)腳本語

言，比起用C/C++、Java等語言開發(fā)C/S程序，難度有所降低，有利于快速開發(fā)出所需的項(xiàng)目。但是從安全方面考慮，由于Web網(wǎng)站牽涉到的一些網(wǎng)絡(luò)協(xié)議先天的不足，以及由于網(wǎng)絡(luò)技術(shù)發(fā)展太快，網(wǎng)站復(fù)雜程度隨著需求擴(kuò)展不斷膨脹，而網(wǎng)站開發(fā)程序員的水平和安全意識(shí)往往沒有跟上，導(dǎo)致Web網(wǎng)站非常容易出現(xiàn)各種安全漏洞，使黑客能夠?qū)ζ溥M(jìn)行各種形式的攻擊，常見的Web安全漏洞主要有SQL注入和XSS跨站攻擊等。SQL注入

SQL注入（SQL injection）是發(fā)生在Web應(yīng)用程序和后臺(tái)數(shù)據(jù)庫之間的一種安全漏洞攻擊，它的基本原理是：攻擊者精心構(gòu)建一個(gè)包含了SQL指令的輸入數(shù)據(jù)，然后作為參數(shù)傳遞給應(yīng)用程序，在應(yīng)用程序沒有對(duì)輸入數(shù)據(jù)做足夠的檢查的情況下，數(shù)據(jù)庫服務(wù)器就會(huì)被欺騙，將本來只能作為普通數(shù)據(jù)的輸入當(dāng)成了SQL指令并執(zhí)行。

數(shù)據(jù)庫是動(dòng)態(tài)網(wǎng)站的核心，包含了很多網(wǎng)站相關(guān)的敏感數(shù)據(jù)，例如管理員的賬號(hào)和密碼等，所以一旦數(shù)據(jù)庫的信息被SQL注入非法查詢，這些敏感信息就會(huì)被泄露，導(dǎo)致嚴(yán)重后果。此外，SQL注入還可能被用于網(wǎng)頁篡改、網(wǎng)頁掛馬，更為嚴(yán)重的是，有些數(shù)據(jù)庫管理系統(tǒng)支持SQL指令調(diào)用一些操作系統(tǒng)功能模塊，一旦被SQL注入攻擊甚至存在服務(wù)器被遠(yuǎn)程控制安裝后門的風(fēng)險(xiǎn)。XSS跨站攻擊

簡單地說，XSS也是由于Web應(yīng)用程序?qū)τ脩舻妮斎脒^濾不嚴(yán)而產(chǎn)生，攻擊者利用XSS漏洞可以將惡意的腳本代碼（主要包括html代碼和JavaScript腳本）注入到網(wǎng)頁中，當(dāng)其他用戶瀏覽這些網(wǎng)頁時(shí)，就會(huì)觸發(fā)其中的惡意腳本代碼，對(duì)受害者進(jìn)行諸如Cookie信息竊取、會(huì)話劫持、網(wǎng)絡(luò)釣魚等各種攻擊。

與主動(dòng)攻擊Web服務(wù)器端的SQL注入攻擊不同，XSS攻擊發(fā)生在瀏覽器客戶端，對(duì)服務(wù)器一般沒有直接危害，而且總體上屬于等待對(duì)方上鉤的被動(dòng)攻擊，因此XSS這種安全漏洞雖很早就被發(fā)現(xiàn)，其危害性卻曾經(jīng)受到普遍忽視，但隨著網(wǎng)絡(luò)攻擊者挖掘出了原來越多的XSS漏洞利用方式，加上Web2.0的流行、Ajax等技術(shù)的普及，使得黑客有了更多機(jī)會(huì)發(fā)動(dòng)XSS攻擊，導(dǎo)致近年來XSS攻擊的安全事件層出不窮，對(duì)XSS攻防方面研究的重視程度明顯提高。

當(dāng)然，Web網(wǎng)站面臨的安全威脅還有很多，并且隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展而不斷更新，例如CSRF跨站請(qǐng)求偽造、界面操作劫持等。

1.3 Web滲透測試概述

由于各種安全漏洞，因特網(wǎng)上的Web網(wǎng)站面臨黑客攻擊的風(fēng)險(xiǎn)，因此必須采取措施進(jìn)行防護(hù)工作。傳統(tǒng)防火墻因?yàn)楸仨毞判蠾eb服務(wù)的端口（一般是80端口），所以對(duì)SQL注 2

入、XSS跨站攻擊之類入侵手段沒有防護(hù)效果，現(xiàn)在也出現(xiàn)了一些專門用于保護(hù)Web網(wǎng)站的安全設(shè)備，例如WAF防火墻、安全狗等，但這些設(shè)備并不是萬能的，往往容易被高水平的入侵者繞過。最有效的措施還是進(jìn)行Web滲透測試。

滲透測試時(shí)安全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì)目標(biāo)系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測試能夠直觀的讓管理人員知道自己網(wǎng)絡(luò)所面臨的問題。

Web滲透測試主要是對(duì)Web應(yīng)用程序和相應(yīng)的軟硬件設(shè)備配置的安全性進(jìn)行測試。進(jìn)行Web滲透測試的安全人員必須遵循一定的滲透測試準(zhǔn)則，不能對(duì)被測系統(tǒng)進(jìn)行破壞活動(dòng)。Web安全滲透測試一般是經(jīng)過客戶授權(quán)的，采取可控制、非控制性質(zhì)的方法和手段發(fā)現(xiàn)目標(biāo)服務(wù)器、Web應(yīng)用程序和網(wǎng)絡(luò)配置中存在的弱點(diǎn)。

通過Web滲透測試后，即可有針對(duì)性地對(duì)Web網(wǎng)站上的安全漏洞進(jìn)行修補(bǔ)，最大程度地加固系統(tǒng)，確保安全。

第二章 Web滲透測試方案設(shè)計(jì)

2.1 滲透測試網(wǎng)站創(chuàng)建

為了研究Web滲透測試技術(shù)，我們需要一個(gè)測試用的Web網(wǎng)站，由于法律的限制，我們不能直接去攻擊互聯(lián)網(wǎng)上的Web網(wǎng)站，所以需要自己創(chuàng)建一個(gè)實(shí)驗(yàn)測試用Web網(wǎng)站，這樣不但合法，而且還有利于測試完成后做修補(bǔ)加固和代碼審核工作。

測試Web網(wǎng)站可以創(chuàng)建在本地，也可以創(chuàng)建到自己購買的虛擬空間或云主機(jī)上，為了方便起見，這里選擇在云平臺(tái)上的一臺(tái)Windows 2003虛擬機(jī)系統(tǒng)上創(chuàng)建Web網(wǎng)站。

ASP、ASP.NET、PHP和JSP網(wǎng)站需要不同的環(huán)境，包括選用Apache、IIS、Nginx或者Weblogic中哪個(gè)Web服務(wù)器，數(shù)據(jù)庫也有Access、Microsoft SQL Server、MySQL以及Oracle等多種選擇。至于網(wǎng)站的源代碼，可以自己開發(fā)，但一般更常見是到互聯(lián)網(wǎng)上去搜尋開源的Web項(xiàng)目下載，例如中國站長網(wǎng)等，可以根據(jù)需求自己對(duì)網(wǎng)站源代碼進(jìn)行適當(dāng)?shù)牟眉粜薷模哺眠_(dá)到滲透測試目的。

如圖2-1所示，這里選用了IIS+ASP方案創(chuàng)建了一個(gè)測試用Web網(wǎng)站。

圖2-1 創(chuàng)建Web網(wǎng)站

2.2 滲透測試工具選擇

對(duì)Web網(wǎng)站進(jìn)行滲透測試的工作是在一臺(tái)能訪問Web網(wǎng)站的攻擊機(jī)上實(shí)施的，這些測試工作有些可以直接用手工操作，不過如果有適當(dāng)?shù)墓ぞ邘椭?，往往可以大幅度地提高滲 4

透測試的成功率和效率，因此選擇一套滲透測試用的工具軟件是必備的工作，這些工具一般包括端口掃描器、網(wǎng)站目錄掃描器、網(wǎng)站后臺(tái)掃描器、網(wǎng)站漏洞掃描器、SQL注入工具、XSS利用工具、轉(zhuǎn)碼工具、加解密工具等等。

如圖2-2所示，在本地攻擊機(jī)上安裝了一些常用的滲透測試工具。

圖2-2 滲透測試工具

2.3滲透測試方法

準(zhǔn)備好測試用Web網(wǎng)站和滲透測試工具后，即可在攻擊機(jī)上開始進(jìn)行Web滲透測試工作，方法是模擬真正黑客的入侵過程，綜合利用各種工具和手段，獲取目標(biāo)Web網(wǎng)站甚至網(wǎng)站所在服務(wù)器上的權(quán)限，從而挖掘出網(wǎng)站的各種安全漏洞，為后面的安全加固提供依據(jù)。當(dāng)然，這需要很高的技術(shù)水平和熟練的操作，沒有多年的經(jīng)驗(yàn)積累是很難在各種情景下都能完成任務(wù)的，在下一章，我們就以一個(gè)比較簡單的，漏洞比較明顯的Web網(wǎng)站為例演示一下比較典型的Web滲透測試過程。

第三章 Web滲透測試過程

3.1 掃描測試Web網(wǎng)站

如圖3-1所示，滲透測試首先應(yīng)該先用Nmap之類的端口掃描工具掃描一下目標(biāo)網(wǎng)站所在的服務(wù)器，了解開放的端口服務(wù)，目標(biāo)可能的操作系統(tǒng)類型等信息。這里可以看到，目標(biāo)服務(wù)器的80號(hào)端口是開放的，所以Web服務(wù)應(yīng)該是正常的。

圖3-1 端口掃描

然后用瀏覽器打開網(wǎng)站驗(yàn)證，如圖3-2所示：

圖3-2 Web網(wǎng)站瀏覽

3.2 尋找Web安全漏洞

我們可以用一些自動(dòng)化的網(wǎng)站掃描工具去檢測網(wǎng)站的常見漏洞，也可以用純手工的方式進(jìn)行檢測，如圖3-3和3-4所示，在網(wǎng)頁URL后面添加“and 1=1”和“and 1=2”，發(fā)現(xiàn)網(wǎng)站返回的情況不同！說明這里存在著SQL注入漏洞。

圖3-3 SQL注入測試

圖3-4 SQL注入測試

如圖3-5所示，在地址欄后面添加“ “> ”，彈窗窗口出現(xiàn)，證明這里存在反射型XSS漏洞。

圖3-5 反射型XSS 如圖3-

6、3-7和3-8所示，在留言板里發(fā)表包含“ ”的帖子內(nèi)容，彈窗窗口出現(xiàn)，證明這里存在存儲(chǔ)型XSS漏洞。

圖3-6 留言板

圖3-7 XSS留言

圖3-8 存儲(chǔ)型XSS 3.3 SQL注入攻擊測試

在上一節(jié)已經(jīng)找到Web網(wǎng)站的SQL注入漏洞的基礎(chǔ)上，我們利用此漏洞去猜解網(wǎng)站后臺(tái)數(shù)據(jù)庫中的賬號(hào)和密碼，既可以用工具也可以用手工方式，這里為方便起見選用注入工具，如圖3-9和3-10所示，很快猜解出賬號(hào)和密碼。

圖3-9 工具掃描SQL注入漏洞

圖3-10 注入找到后臺(tái)賬號(hào)密碼

從密碼的形式可以看出不是明文而是原始密碼的MD5散列碼，MD5是單向散列函數(shù)，本來是不能破解的，不過如果密碼原文比較簡單，也可能用暴力破解的方式找到原密碼，如圖3-

11、3-12和3-13所示。

圖3-11 破解MD5

圖3-12 破解成功

圖3-13 破解出密碼原文

有了賬號(hào)和密碼后，掃描網(wǎng)站的管理后臺(tái)地址，如圖3-14所示。

圖3-14 掃描出管理后臺(tái)

如圖3-15和3-16所示，用前面注入猜解和破解獲取的賬號(hào)和密碼登錄，成功進(jìn)入Web網(wǎng)站的管理后臺(tái)界面。

圖3-15 登錄管理后臺(tái)

圖3-16 進(jìn)入管理后臺(tái)

3.4 XSS跨站攻擊測試

前面已經(jīng)通過手工方式探測到網(wǎng)站存在XSS漏洞，XSS漏洞屬于一種比較被動(dòng)的安全漏洞，不能用來直接攻擊服務(wù)器，而是一部用來攻擊其他客戶端，具體利用的方法和形式很多，下面是利用XSS漏洞竊取管理員cookie的步驟。

圖3-17 XSS利用平臺(tái)網(wǎng)站

如圖3-17所示，XSS漏洞攻擊者自己創(chuàng)建一個(gè)具有XSS漏洞利用功能的網(wǎng)站，然后為自己創(chuàng)建一個(gè)項(xiàng)目，生成具有竊取cookie功能的代碼，如圖3-18所示：

圖3-18 XSS利用代碼

現(xiàn)在攻擊者可以設(shè)法利用各種欺騙手段讓其他Web網(wǎng)站用戶執(zhí)行XSS代碼，這里利用存儲(chǔ)型XSS漏洞，由攻擊者在留言板上發(fā)表包含XSS利用代碼的內(nèi)容插入網(wǎng)站數(shù)據(jù)庫，如圖3-19所示。

圖3-19 將代碼插入目標(biāo)Web網(wǎng)站

如圖3-20所示，一旦Web網(wǎng)站的管理員在登錄狀態(tài)下查看了留言板，XSS利用代碼就 14

在后臺(tái)隱蔽執(zhí)行了。

圖3-20 管理員被攻擊

此時(shí)攻擊者回到XSS網(wǎng)站，會(huì)發(fā)現(xiàn)自己的項(xiàng)目中返回了數(shù)據(jù)，如圖3-21所示。

圖3-21 攻擊者收到cookie

如圖3-22所示，攻擊者竊取到了Web網(wǎng)站管理員的cookie信息。

圖3-22 竊取到的cookie值

如圖3-23和3-24所示，有了竊取到的cookie信息，再借助一些cookie修改工具，可以不輸入密碼直接進(jìn)入管理后臺(tái)界面。

圖3-23 cookie修改工具

圖3-24 竊取cookie進(jìn)入管理界面

3.5 網(wǎng)馬上傳攻擊測試

前面利用SQL注入漏洞拿到管理賬戶和密碼后可以非法進(jìn)入后臺(tái)管理界面，但到這來一般并不能做多少事，用后臺(tái)權(quán)限篡改新聞掛黑頁是很無聊的事情，常見的做法是想辦法將網(wǎng)頁木馬上傳到網(wǎng)站獲取Webshell得到網(wǎng)站所在服務(wù)器的某些權(quán)限，然后有需要和可能再設(shè)法提權(quán)。

如圖3-25所示，在Web網(wǎng)站管理后臺(tái)里找到一個(gè)能夠上傳自己圖片的地方，然后選擇上傳文件，如圖3-26和3-27所示，直接上傳asp格式的網(wǎng)馬是通不過檢查的，所以上傳一個(gè)偽裝成圖片文件的小馬，結(jié)果成功上傳，并被自動(dòng)重命名，如圖3-28和3-29所示。

圖3-25 上傳圖片

圖3-26 選擇文件

圖3-27 上傳網(wǎng)馬圖片

圖3-28 上傳成功

圖3-29 上傳文件位置和名稱

現(xiàn)在網(wǎng)馬內(nèi)容上傳上去了，但文件后綴名不對(duì)，所以不能訪問執(zhí)行，所以需要再利用類似如圖3-30所示的備份漏洞，將上傳的文件的后綴名成功改回asp。

圖3-30 備份改名

現(xiàn)在可以直接訪問上傳成功的網(wǎng)馬，如圖3-31所示是小馬的效果，利用它在上傳一個(gè)功能齊全的大馬，如圖3-32和3-33所示。

圖3-31 訪問網(wǎng)馬

圖3-32 上傳大馬

圖3-33 訪問大馬

現(xiàn)在可以直接訪問大馬網(wǎng)頁文件，如圖3-34所示，登錄成功后即得到類似圖3-35所示的Webshell界面，根據(jù)權(quán)限可以對(duì)Web網(wǎng)站所在的服務(wù)器進(jìn)行操作，如果有其他系統(tǒng)和軟件漏洞，還可以設(shè)法提權(quán)，獲取對(duì)服務(wù)器的完全控制權(quán)。

圖3-34 網(wǎng)馬登錄

圖3-35 獲取Webshell

第四章 Web網(wǎng)站防護(hù)

4.1 網(wǎng)站代碼修復(fù)

經(jīng)過Web滲透測試，我們發(fā)現(xiàn)了網(wǎng)站的安全漏洞及其嚴(yán)重后果，下一步自然就是部署安全防護(hù)措施，堵塞漏洞。

對(duì)Web網(wǎng)站后臺(tái)代碼進(jìn)行閱讀審核后，可知正是因?yàn)榫W(wǎng)站查詢數(shù)據(jù)庫的SQL語句缺少必要的過濾措施才導(dǎo)致了SQL注入、XSS等安全漏洞。修補(bǔ)漏洞的最好辦法是用安全編碼方式徹底重寫所有相關(guān)代碼，如果沒有這個(gè)條件，添加一些過濾代碼也是比較好的辦法，例如圖4-1所示，在數(shù)據(jù)庫連接文檔中添加了對(duì)用戶提交值中非法參數(shù)的檢測。

圖4-1 過濾代碼

添加過濾代碼后，黑客如果再企圖對(duì)Web網(wǎng)站進(jìn)行諸如SQL注入之類的攻擊，就會(huì)被攔截而歸于失敗，如圖4-2所示。

圖4-2 SQL注入被攔截

需要注意的是，黑名單式的過濾代碼并不是萬能的，往往會(huì)被更高水平的黑客攻擊繞過，所以還應(yīng)根據(jù)攻防技術(shù)的發(fā)展及時(shí)更新，并結(jié)合其他安全防范措施。

4.2 其它防護(hù)措施

因?yàn)楝F(xiàn)在的Web網(wǎng)站功能越來越多，也越來越復(fù)雜，相應(yīng)的黑客攻擊技術(shù)也在不斷發(fā)展，所以往往不是單一的安全防護(hù)措施就能有效抵御各種滲透攻擊，而需要綜合采用各種措施，一方面盡可能將所有的安全漏洞堵住，另一方面可以爭取做到即使黑客攻破了某個(gè)安全措施，也會(huì)被其他安全措施攔截，將損失降低到最小。

目前比較常用的Web安全防范措施有：盡量選用高版本的操作系統(tǒng)Web服務(wù)器，設(shè)置高強(qiáng)度的密碼，給網(wǎng)站目錄設(shè)置最小的必要權(quán)限，加裝Web防火墻和殺毒軟件監(jiān)控網(wǎng)頁木馬等。

最后需要指出，Web滲透和防護(hù)技術(shù)還處在快速發(fā)展階段，所以沒有一勞永逸的安全，必須不斷學(xué)習(xí)，與時(shí)俱進(jìn)。

總 結(jié)

網(wǎng)絡(luò)安全是當(dāng)前的一個(gè)技術(shù)研究熱點(diǎn)，Web安全又是網(wǎng)絡(luò)安全中的一個(gè)核心問題。Web滲透測試則是強(qiáng)化Web網(wǎng)站安全的重要技術(shù)手段，它是在獲得授權(quán)的情況下，模擬真實(shí)的黑客攻擊手段對(duì)目標(biāo)Web站點(diǎn)進(jìn)行入侵測試，因此能夠最大程度挖掘出Web網(wǎng)站的安全漏洞，為Web安全防護(hù)提供有效依據(jù)。

本文是在真實(shí)網(wǎng)絡(luò)環(huán)境里自己搭建了一個(gè)Web網(wǎng)站，然后自己對(duì)其進(jìn)行滲透測試，研究Web安全相關(guān)攻防技術(shù)。限于水平，創(chuàng)建的Web網(wǎng)站和攻防所用的技術(shù)都比較簡單，沒有涉及當(dāng)前最新的Web網(wǎng)站漏洞測試，但仍然比較完整地展示了Web網(wǎng)站滲透測試和防護(hù)的過程，為以后進(jìn)一步學(xué)習(xí)和工作打下良好基礎(chǔ)。

參考文獻(xiàn)

[1] 陳小兵，范淵，孫立偉.Web滲透技術(shù)及實(shí)戰(zhàn)案例解析 [M].北京：電子工業(yè)出版社，2012.4 [2] 王文君，李建蒙.Web應(yīng)用安全威脅與防治 [M].北京：電子工業(yè)出版社，2013.1 [3] 吳翰清.白帽子講Web安全 [M].北京：電子工業(yè)出版社，2012.3 [4] 鮑洪生.信息安全技術(shù)教程 [M].北京：電子工程出版社，2014.3 25

第二篇：Web網(wǎng)站設(shè)計(jì)職業(yè)行情

Web網(wǎng)站設(shè)計(jì)職業(yè)行情

北京Web前端開發(fā)工程師招聘：

北京大正語言知識(shí)處理科技有限公司/漢語之聲國際網(wǎng)絡(luò)技術(shù)(北京)有限公司

一、工作職責(zé)：利用HTML/CSS/JavaScript/DOM等各種Web技術(shù)進(jìn)行產(chǎn)品的界面開發(fā)。制作標(biāo)準(zhǔn)優(yōu)化的代碼，并增加交互動(dòng)態(tài)功能，開發(fā)JavaScript模塊，同時(shí)結(jié)合后臺(tái)開發(fā)技術(shù)模擬整體效果，進(jìn)行豐富互聯(lián)網(wǎng)的Web開發(fā)，致力于通過技術(shù)改善用戶體驗(yàn)。

二、職位要求：

1、本科及以上學(xué)歷 ；

2、精通HTML/XHTML、CSS，熟悉頁面架構(gòu)和布局，對(duì)Web標(biāo)準(zhǔn)和標(biāo)簽語義化有深入理解；

3、精通Ajax、JavaScript、DOM等前端技術(shù)，掌握面向?qū)ο缶幊趟枷耄?/p>

4、熟悉一種以上后臺(tái)開發(fā)語言(如PHP/Java或C/C++/.NET)以及一種數(shù)據(jù)庫(如MySQL/Oracle)；

5、對(duì)Web技術(shù)創(chuàng)新及豐富互聯(lián)網(wǎng)應(yīng)用開發(fā)(Rich Internet Applications)有濃厚興趣；

6、對(duì)用戶體驗(yàn)、交互操作流程、及用戶需求有深入理解；

7、極強(qiáng)的團(tuán)隊(duì)協(xié)作精神、優(yōu)秀的學(xué)習(xí)能力與創(chuàng)新能力。

三、工資 4000-5000元/月

發(fā)布時(shí)間：2010-04-27

來源網(wǎng)站：智聯(lián)招聘網(wǎng)

北京賽嘉城電子商務(wù)有限公司

崗位職責(zé)：

1、負(fù)責(zé)將美工制作的頁面效果做成標(biāo)準(zhǔn)的HTML網(wǎng)頁原型；

2、負(fù)責(zé)開放平臺(tái)前端靜態(tài)頁面JS交互效果編寫及修改；

3、負(fù)責(zé)開放平臺(tái)WEB前端（動(dòng)態(tài)頁面）最終交互效果的實(shí)現(xiàn)及修改；

4、負(fù)責(zé)協(xié)調(diào)技術(shù)開發(fā)人員進(jìn)行頁面與后臺(tái)程序銜接。

5、優(yōu)化網(wǎng)站前端性能；

6、優(yōu)化用戶界面易用性

能力要求：

1．大專以上學(xué)歷，至少2年web前臺(tái)開發(fā)工作經(jīng)驗(yàn)

2．精通HTML/XHTM及JavaScript，熟悉W3C標(biāo)準(zhǔn)，熟練應(yīng)用開源JavaScript庫(如JQuery）；

3．可以快速、簡練的將網(wǎng)頁設(shè)計(jì)圖，使用DIV+CSS編寫成靜態(tài)頁面，能夠使用JS手工編寫前端效果，能夠使用AJAX方法實(shí)現(xiàn)前端效果，熟悉相關(guān)規(guī)范,有豐富的跨瀏覽器開發(fā)經(jīng)驗(yàn)；

4．熟悉前端頁面優(yōu)化，具有高性能網(wǎng)站的構(gòu)建經(jīng)驗(yàn)者優(yōu)先；

5．具有優(yōu)秀的學(xué)習(xí)能力與創(chuàng)新能力，并能夠承擔(dān)較強(qiáng)的工作壓力；

6．對(duì)用戶體驗(yàn)與功能易用性有較為深刻的理解

7．良好的團(tuán)隊(duì)合作意識(shí)和積極的工作態(tài)度；

8．有PHP開發(fā)經(jīng)驗(yàn)者優(yōu)先；

發(fā)布時(shí)間：2011-03-30

來源網(wǎng)站：前程無憂 深圳市熾昂科技有限公司

職位描述

負(fù)責(zé)根據(jù)UI效果圖以DIV+CSS布局的方式切割成標(biāo)準(zhǔn)的HTML頁面,不斷優(yōu)化代碼并保持良好主流瀏覽器兼容性

負(fù)責(zé)配合后端開發(fā)人員實(shí)現(xiàn)界面功能和效果

職位要求

1、計(jì)算機(jī)相關(guān)專業(yè),2年以上相關(guān)工作經(jīng)驗(yàn)；

2、精通HTML、DIV、CSS，熟悉頁面框架和布局,對(duì)WEB標(biāo)準(zhǔn)和標(biāo)簽語義有深入的理解

3、精通Javascript,JSON,AJAX等技術(shù),熟練運(yùn)用常見JS框架，如JQuery、Prototype、Extjs等

4、能夠使用JavaScript進(jìn)行通用組件、類庫、框架編寫

5、具有大型互聯(lián)網(wǎng)行業(yè)工作經(jīng)驗(yàn)者優(yōu)先考慮

其他要求：

1、具有良好的表達(dá)和溝通能力，思路清晰，較強(qiáng)的責(zé)任心、團(tuán)隊(duì)精神以及動(dòng)手能力

2、善于學(xué)習(xí)，對(duì)WEB前端技術(shù)有深厚的興趣和研究探索精神，并且愿意與團(tuán)隊(duì)成員分享相關(guān)經(jīng)驗(yàn)

3、個(gè)性開朗,在面對(duì)壓力時(shí)能夠保持良好的心態(tài)

發(fā)布時(shí)間：2011-03-29 綠盟科技

職位工作內(nèi)容簡要綜述：前端頁面開發(fā)

具體工作內(nèi)容與職責(zé)：

1、負(fù)責(zé)產(chǎn)品界面的前端開發(fā)，配合開發(fā)人員實(shí)現(xiàn)最終產(chǎn)品界面，并監(jiān)管界面開發(fā)質(zhì)量；

2、依據(jù)設(shè)計(jì)稿，高質(zhì)量完成HTML頁面原型的制作；

3、負(fù)責(zé)維護(hù)和更新界面設(shè)計(jì)標(biāo)準(zhǔn)和規(guī)范，并推廣標(biāo)準(zhǔn)和規(guī)范的實(shí)施；

4、交互控件的設(shè)計(jì)與開發(fā)，UI編碼規(guī)范的制定與推廣；

5、響應(yīng)公司網(wǎng)站相關(guān)的頁面制作與維護(hù)；

工作經(jīng)驗(yàn)和技能要求：

1、本科以上學(xué)歷，2年以上前端開發(fā)經(jīng)驗(yàn)；

2、精通HTML、CSS、Javascript,熟練掌握Photoshop、Dreamweaver等軟件，完成頁面制作，實(shí)現(xiàn)界面中的交互功能，并兼容主流瀏覽器，會(huì)Actionscript者優(yōu)先；

3、熟悉web標(biāo)準(zhǔn)，對(duì)表現(xiàn)與數(shù)據(jù)分離，HTML語義化等有深刻理解；

4、了解PHP或其他服務(wù)器編程語言，能協(xié)助后臺(tái)開發(fā)人員完成最終產(chǎn)品界面；

5、具備良好的團(tuán)隊(duì)合作精神和積極主動(dòng)的溝通意識(shí)；

6、對(duì)web技術(shù)鉆研有強(qiáng)烈興趣，有良好的學(xué)歷能力和強(qiáng)烈的進(jìn)取心。

發(fā)布時(shí)間：2011-03-30

來源網(wǎng)站：前程無憂

大洋網(wǎng)

職位描述：本職位隸屬于技術(shù)中心研發(fā)部，負(fù)責(zé)Web系統(tǒng)和功能的前端開發(fā)、維護(hù)。

職位要求：

1、本科以上學(xué)歷，計(jì)算機(jī)或相關(guān)專業(yè)；

2、熟悉各種Web前端技術(shù)，包括

XHTML/XML/CSS/Javascript/ActionScript等；

3、深刻理解Web標(biāo)準(zhǔn)，對(duì)可用性、可訪問性等相關(guān)知識(shí)有實(shí)際的了解和實(shí)踐經(jīng)驗(yàn)；

4、有基于Ajax或Flash的RIA應(yīng)用開發(fā)經(jīng)驗(yàn)；

5、溝通能力強(qiáng)，善于同多人協(xié)作完成任務(wù)；

6、抗壓能力強(qiáng)，可應(yīng)對(duì)較大的工作壓力；

7、有后臺(tái)語言（如Java/PHP/C++）經(jīng)驗(yàn)者優(yōu)先；

8、有框架使用、subversion、開發(fā)流程管理等經(jīng)驗(yàn)者優(yōu)先。

發(fā)布時(shí)間：2011-03-30

來源網(wǎng)站：前程無憂

廣州海然數(shù)碼科技有限公司

崗位職責(zé)

1、技術(shù)人員職位，在上級(jí)的領(lǐng)導(dǎo)和監(jiān)督下定期完成量化的工作要求；

2、能獨(dú)立處理和解決所負(fù)責(zé)的任務(wù)；

3、根據(jù)開發(fā)進(jìn)度和任務(wù)分配，完成相應(yīng)模塊軟件的設(shè)計(jì)、開發(fā)、編程任務(wù)；

4、進(jìn)行程序單元、功能的測試，查出軟件存在的缺陷并保證其質(zhì)量；

5、進(jìn)行編制項(xiàng)目文檔和質(zhì)量記錄的工作；

6、維護(hù)軟件使之保持可用性和穩(wěn)定性。任職資格

1、計(jì)算機(jī)相關(guān)專業(yè)背景，?？埔陨蠈W(xué)歷；

2、熟悉數(shù)據(jù)庫編程，精通數(shù)據(jù)庫應(yīng)用（SQLSERVER為主)；

3、熟練掌握.NETFramework（C#）或者ASP開發(fā)，能開發(fā)B/S構(gòu)架的應(yīng)用程序；

4、精通Javascript、動(dòng)態(tài)網(wǎng)頁、AJAX、HTML、CSS等WEB技術(shù)

5、熟悉VB或者ASP語法

6、能獨(dú)立完成用戶交換界面的設(shè)計(jì)、有一定的審美和網(wǎng)頁設(shè)計(jì)能力的優(yōu)先考慮

7、做事嚴(yán)謹(jǐn)踏實(shí)，責(zé)任心強(qiáng)，條理清楚，善于學(xué)習(xí)總結(jié)，有良好的團(tuán)隊(duì)合作精神和溝通協(xié)調(diào)能力。發(fā)布時(shí)間：2011-03-30

來源網(wǎng)站：珠江人才熱線 廣州跨際網(wǎng)絡(luò)科技有限公司

c# vb asp.net web開發(fā) 電子商務(wù)軟件工程師

崗位職責(zé)描述：

1、獨(dú)立進(jìn)行電子商務(wù)網(wǎng)站產(chǎn)品設(shè)計(jì)；

2、能管理外包項(xiàng)目以及獨(dú)立高質(zhì)量的完成開發(fā)任務(wù)；

任職資格描述：

1、計(jì)算機(jī)、信息管理或通信等相關(guān)專業(yè)本科及以上學(xué)歷。

2、精通C#開發(fā)語言；

3、熟悉.NET Framework 架構(gòu)體系，能夠非常熟練使用.NET平臺(tái)進(jìn)行編程：C#(Winform)，ASP.NET，JS，XML等）。能夠編寫高質(zhì)量的代碼；熟悉面向?qū)ο蟮乃枷?，有很好的業(yè)務(wù)分析設(shè)計(jì)和業(yè)務(wù)抽象能力；

4、有非常熟練的數(shù)據(jù)庫（SQL Server或 Mysql等）應(yīng)用經(jīng)驗(yàn)，對(duì)數(shù)據(jù)結(jié)構(gòu)有清楚的認(rèn)識(shí)，有一定的數(shù)據(jù)庫設(shè)計(jì)能力；

5、有三年以上的開發(fā)經(jīng)驗(yàn)，完整參與兩個(gè)以上項(xiàng)目的開發(fā) ；

6、有良好的溝通、理解能力，客戶導(dǎo)向意識(shí) ；

7、有良好的自我學(xué)習(xí)能力、自我管理能力和團(tuán)隊(duì)合作能力；

8、有財(cái)務(wù)軟件開發(fā)經(jīng)驗(yàn)的優(yōu)先考慮。

一、崗位職責(zé)：

1、精通ASP.NET(C#)開發(fā)，熟悉WebService、AJAX；

2、熟悉三層架構(gòu),熟悉OOP設(shè)計(jì)編程理念；

3、熟悉DIV+CSS WEB標(biāo)準(zhǔn)化；

4、精通SQL語言，熟練使用SQL Server 2005，熟悉存儲(chǔ)過程開發(fā)；

二、職位要求：

1、大專及以上學(xué)歷，22-35歲，二年以上網(wǎng)站開發(fā)經(jīng)驗(yàn)，有獨(dú)立建站或電子商務(wù)類網(wǎng)站建設(shè)經(jīng)驗(yàn)者優(yōu)先；

2、積極上進(jìn)，善于學(xué)習(xí)，具備良好的分析、解決問題的能力；

3、有責(zé)任心，工作效率高，有良好交流溝通能力和團(tuán)隊(duì)協(xié)作意識(shí)；

注：在簡歷中請(qǐng)?zhí)峁┚唧w開發(fā)網(wǎng)站網(wǎng)址及自己負(fù)責(zé)的功能。

三、符合以下條件者從優(yōu)：

有門戶級(jí)大型網(wǎng)站開發(fā)經(jīng)驗(yàn)者。

發(fā)布時(shí)間：2011-03-28

來源網(wǎng)站：智聯(lián)招聘網(wǎng)

第三篇：web課程設(shè)計(jì)報(bào)告-視頻網(wǎng)站

Web應(yīng)用開發(fā)基礎(chǔ)設(shè)計(jì)

題目： 電影網(wǎng)站設(shè)計(jì)與實(shí)現(xiàn)_ 系部：_信息技術(shù)工程學(xué)院___ 專業(yè)：_xxxxxxxx___________ 班級(jí)：_xxxxxxxx___________ 學(xué)號(hào)：_xxxxxxxxxxxx________ 姓名：_xxxxxxx_____________

目錄

一、實(shí)驗(yàn)?zāi)康?..................................................................................................................................3

二、實(shí)驗(yàn)需求...................................................................................................................................3

三、實(shí)驗(yàn)功能...................................................................................................................................3

四、實(shí)驗(yàn)內(nèi)容...................................................................................................................................3

1.設(shè)計(jì)主頁...........................................................................................................................3 2.主頁頁面設(shè)計(jì)...................................................................................................................4 3.博客頁面設(shè)計(jì)...................................................................................................................4 4.關(guān)于我們...........................................................................................................................5 5.常見問題...........................................................................................................................5

五、實(shí)驗(yàn)心得體會(huì)...........................................................................................................................5

1.標(biāo)題................................................................................................................................5 2.內(nèi)容的采集....................................................................................................................5 3.圖片................................................................................................................................5 4.網(wǎng)頁排版........................................................................................................................5 5.背景................................................................................................................................6 6.其它................................................................................................................................6

六、實(shí)驗(yàn)不足...................................................................................................................................6

一、實(shí)驗(yàn)?zāi)康?/p>

1.學(xué)會(huì)使用HTML和CSS技術(shù)實(shí)現(xiàn)靜態(tài)網(wǎng)站的搭建和設(shè)計(jì)，完成五個(gè)網(wǎng)頁的建設(shè)，網(wǎng)站要呈現(xiàn)出來電影推薦的主題。

2.掌握網(wǎng)站開發(fā)的原理和相關(guān)技術(shù)，尤其是要具備用HTML編寫網(wǎng)頁的能力。

3.掌握HTML基礎(chǔ)標(biāo)簽（標(biāo)題標(biāo)簽、段落標(biāo)簽和換行標(biāo)簽）、列表（有序、無序）。4.掌握基本框架的創(chuàng)建并使用框架實(shí)現(xiàn)網(wǎng)頁的整體布局。

5.掌握表格的基本創(chuàng)建、表格屬性的使用及使用表格實(shí)現(xiàn)網(wǎng)頁的整體布局。6.掌握CSS多種屬性及使用方法（字體、文本、背景、邊框、邊距及填充）。

二、實(shí)驗(yàn)需求

電影推薦是本網(wǎng)站打造的一個(gè)電影社區(qū)，幫助用戶找到想要的電影、影人、影院、電視劇。比如通過各大網(wǎng)站的影評(píng)，電影的評(píng)分幫助你找到你想要的電影。滿足用戶對(duì)于電影的多種不同需求，充分釋放你對(duì)電影的熱愛。

三、實(shí)驗(yàn)功能

1.用HTML設(shè)計(jì)制作網(wǎng)頁。用記事本或dreamweaver作為工具，利用HTML語言制作簡單網(wǎng)頁。

2.用框架、表格和表單設(shè)計(jì)制作網(wǎng)頁。

3.CSS樣式的使用。CSS的類、選擇符和標(biāo)識(shí)符的使用，內(nèi)嵌式、外接式樣式的使用 4.javascript的使用。在HTML網(wǎng)頁上使用，用來給HTML網(wǎng)頁增加動(dòng)態(tài)功能。

四、實(shí)驗(yàn)內(nèi)容

1.設(shè)計(jì)主頁

主條目內(nèi)容包括：

主頁：網(wǎng)站打開后看到的第一個(gè)頁面，主頁文件名是index加上擴(kuò)展名.html。

index.hml頁面搭建

申明文檔的類型是html5 網(wǎng)頁的編碼格式是UTF-8 讓網(wǎng)站支持IE瀏覽器。

博客: 博客上的文章通常根據(jù)張貼時(shí)間，以倒序方式由新到舊排列。本博客結(jié)合了文字、圖像，能夠讓讀者以互動(dòng)的方式留下意見，是許多博客的重要要素。博客內(nèi)容以圖片介紹為主，本應(yīng)有一些博客專注在藝術(shù)、攝影、視頻、音樂、播客等各種主題，但由于初學(xué)尚有不足。

關(guān)于我們

本站整理各種經(jīng)典，熱評(píng)的電影。本著分享精神。

聯(lián)系我們：如果你對(duì)我們的網(wǎng)站有啥建議和意見，請(qǐng)聯(lián)系我們。這也是對(duì)網(wǎng)站不足的一個(gè)回饋。反饋者可以將名字郵件信息等提交發(fā)送給我們。