第一篇：年終總結(jié)(網(wǎng)站測試)

部門：XX

職位：XX

員工：XX

年終總結(jié)范文

工作又過了一年，來到XX已將近三個月?；仡櫼荒甑臍v程，總是在與bug相伴，測試思想，測試用例，測試報告也一直在與開發(fā)人員溝通著如何才能把項目做得幾近完善，這是工作職責(zé)范圍內(nèi)的，也是作為一個測試人員應(yīng)該做的內(nèi)容，而這一年中所做的不完美與不深入，是我的遺憾。

這一年應(yīng)該是比較重要的一年，從測試入門到熟絡(luò)，從第一個公司到現(xiàn)在公司這些都是值得記住的事情。這一年總的來說，完成了自己既定的目標。在技術(shù)上，學(xué)些了js腳本、sql sever數(shù)據(jù)庫、功能測試，編寫測試用例，各種測試工具的使用。先對這一年重要的事情做一個回顧。在上一個工作做得是php程序員，但是對網(wǎng)站的熱愛讓我對網(wǎng)站測試有這濃厚的興趣，由于有之前的編程基礎(chǔ)，對于測試入手很快，加之女生特有的耐心和細心，讓我在網(wǎng)站測試行業(yè)如魚得水。在黃金十月中，我來到了XX這一個大家庭，經(jīng)過一段時間的調(diào)整，現(xiàn)在已經(jīng)融入到這個集體中?？偟膩碚f，這一年通過自我提升使自己建立了自信心，有著勇氣面對前路未知的一切困難，也加深了自己對于測試的熱愛。

下面談?wù)勎磥硪荒甑挠媱澓驼雇?/p>

從測試技能來說：我將更好地學(xué)習(xí)編寫測試報告，測試用例等基本技能，并學(xué)習(xí)使用各種測試工具以及網(wǎng)站的安全測試，性能測試以更高速更安全的保證軟件的質(zhì)量。學(xué)習(xí)loadrunner，QTP等自動化測試。把功能測試做得更好，也開始學(xué)習(xí)應(yīng)用自動化測試，讓測試工作效率有個較大的提高。從項目來說：系統(tǒng)學(xué)習(xí)下軟件的相關(guān)技能知識和相關(guān)業(yè)務(wù)知識，并逐步應(yīng)用到現(xiàn)在工作中去；了解項目各個角色的職能，以及怎樣通過相互之間的協(xié)作把項目推向成功。

展望，亦是一種期望。希望在下一年，工作各方面都有一個長足的發(fā)展和進步。希望通過實創(chuàng)所有同事的共同努力，把項目推向成功。希望生活越過越充實快樂。更希望，在明年這時，有一個更好的年終答卷。

路漫漫其修遠兮，吾將上下而求索。

第二篇：網(wǎng)站測試心得

在Web工程過程中，基于Web系統(tǒng)的測試、確認和驗收是一項重要而富有挑戰(zhàn)性的工作?；赪eb的系統(tǒng)測試與傳統(tǒng)的軟件測試不同，它不但需要檢查和驗證是否按照設(shè)計的要求運行，而且還要測試系統(tǒng)在不同用戶的瀏覽器端的顯示是否合適。本文從功能、性能、可用性、客戶端兼容性、安全性等方面討論了基于Web的系統(tǒng)測試方法。

AD：

基于Web的系統(tǒng)測試在基于Web的系統(tǒng)開發(fā)中，如果缺乏嚴格的過程，我們在開發(fā)、發(fā)布、實施和維護Web的過程中，可能就會碰到一些嚴重的問題，失敗的可能性很大。而且，隨著基于Web的系統(tǒng)變得越來越復(fù)雜，一個項目的失敗將可能導(dǎo)致很多問題。當這種情況發(fā)生時，我們對Web和Internet的信心可能會無法挽救地動搖，從而引起Web危機。并且，Web危機可能會比軟件開發(fā)人員所面對的軟件危機更加嚴重、更加廣泛。

在Web工程過程中，基于Web系統(tǒng)的測試、確認和驗收是一項重要而富有挑戰(zhàn)性的工作。基于Web的系統(tǒng)測試與傳統(tǒng)的軟件測試不同，它不但需要檢查和驗證是否按照設(shè)計的要求運行，而且還要測試系統(tǒng)在不同用戶的瀏覽器端的顯示是否合適。重要的是，還要從最終用戶的角度進行安全性和可用性測試。然而，Internet和Web媒體的不可預(yù)見性使測試基于Web的系統(tǒng)變得困難。因此，我們必須為測試和評估復(fù)雜的基于Web的系統(tǒng)研究新的方法和技術(shù)。一般軟件的發(fā)布周期以月或以年計算，而Web應(yīng)用的發(fā)布周期以天計算甚至以小時計算。

Web測試人員必須處理更短的發(fā)布周期，測試人員和測試管理人員面臨著從測試傳統(tǒng)的C/S結(jié)構(gòu)和框架環(huán)境到測試快速改變的Web應(yīng)用系統(tǒng)的轉(zhuǎn)變。

一、功能測試

1、鏈接測試鏈接是Web應(yīng)用系統(tǒng)的一個主要特征，它是在頁面之間切換和指導(dǎo)用戶去一些不知道地址的頁面的主要手段。鏈接測試可分為三個方面。首先，測試所有鏈接是否按指示的那樣確實鏈接到了該鏈接的頁面;其次，測試所鏈接的頁面是否存在;最后，保證Web應(yīng)用系統(tǒng)上沒有孤立的頁面，所謂孤立頁面是指沒有鏈接指向該頁面，只有知道正確的URL地址才能訪問。鏈接測試可以自動進行，現(xiàn)在已經(jīng)有許多工具可以采用。鏈接測試必須在集成測試階段完成，也就是說，在整個Web應(yīng)用系統(tǒng)的所有頁面開發(fā)完成之后進行鏈接測試。

2、表單測試當用戶給Web應(yīng)用系統(tǒng)管理員提交信息時，就需要使用表單操作，例如用戶注冊、登陸、信息提交等。在這種情況下，我們必須測試提交操作的完整性，以校驗提交給服務(wù)器的信息的正確性。例如：用戶填寫的出生日期與職業(yè)是否恰當，填寫的所屬省份與所在城市是否匹配等。如果使用了默認值，還要檢驗?zāi)J值的正確性。如果表單只能接受指定的某些值，則也要進行測試。例如：只能接受某些字符，測試時可以跳過這些字符，看系統(tǒng)是否會報錯。

3、Cookies測試 Cookies通常用來存儲用戶信息和用戶在某應(yīng)用系統(tǒng)的操作，當一個用戶使用Cookies訪問了某一個應(yīng)用系統(tǒng)時，Web服務(wù)器將發(fā)送關(guān)于用戶的信息，把該信息以Cookies的形式存儲在客戶端計算機上，這可用來創(chuàng)建動態(tài)和自定義頁面或者存儲登陸等信息。如果Web應(yīng)用系統(tǒng)使用了Cookies，就必須檢查Cookies是否能正常工作。測試的內(nèi)容可包括Cookies是否起作用，是否按預(yù)定的時間進行保存，刷新對Cookies有什么影響等。

4、設(shè)計語言測試 Web設(shè)計語言版本的差異可以引起客戶端或服務(wù)器端嚴重的問題，例如使用哪種版本的HTML等。當在分布式環(huán)境中開發(fā)時，開發(fā)人員都不在一起，這個問題就顯得尤為重要。除了HTML的版本問題外，不同的腳本語言，例如Java、JavaScript、ActiveX、VBScript或Perl等也要進行驗證。

5、數(shù)據(jù)庫測試 在Web應(yīng)用技術(shù)中，數(shù)據(jù)庫起著重要的作用，數(shù)據(jù)庫為Web應(yīng)用系統(tǒng)的管理、運行、查詢和實現(xiàn)用戶對數(shù)據(jù)存儲的請求等提供空間。在Web應(yīng)用中，最常用的數(shù)據(jù)庫類型是關(guān)系型數(shù)據(jù)庫，可以使用SQL對信息進行處理。在使用了數(shù)據(jù)庫的Web應(yīng)用系統(tǒng)中，一般情況下，可能發(fā)生兩種錯誤，分別是數(shù)據(jù)一致性錯誤和輸出錯誤。數(shù)據(jù)一致性錯誤主要是由于用戶提交的表單信息不正確而造成的，而輸出錯誤主要是由于網(wǎng)絡(luò)速度或程序設(shè)計問題等引起的，針對這兩種情況，可分別進行測試。

二、性能測試

1、連接速度測試

用戶連接到Web應(yīng)用系統(tǒng)的速度根據(jù)上網(wǎng)方式的變化而變化，他們或許是電話撥號，或是寬帶上網(wǎng)。當下載一個程序時，用戶可以等較長的時間，但如果僅僅訪問一個頁面就不會這樣。如果Web系統(tǒng)響應(yīng)時間太長(例如超過5秒鐘)，用戶就會因沒有耐心等待而離開。另外，有些頁面有超時的限制，如果響應(yīng)速度太慢，用戶可能還沒來得及瀏覽內(nèi)容，就需要重新登陸了。而且，連接速度太慢，還可能引起數(shù)據(jù)丟失，使用戶得不到真實的頁面。

2、負載測試

負載測試是為了測量Web系統(tǒng)在某一負載級別上的性能，以保證Web系統(tǒng)在需求范圍內(nèi)能正常工作。負載級別可以是某個時刻同時訪問Web系統(tǒng)的用戶數(shù)量，也可以是在線數(shù)據(jù)處理的數(shù)量。例如：Web應(yīng)用系統(tǒng)能允許多少個用戶同時在線?如果超過了這個數(shù)量，會出現(xiàn)什么現(xiàn)象?Web應(yīng)用系統(tǒng)能否處理大量用戶對同一個頁面的請求?

3、壓力測試

負載測試應(yīng)該安排在Web系統(tǒng)發(fā)布以后，在實際的網(wǎng)絡(luò)環(huán)境中進行測試。因為一個企業(yè)內(nèi)部員工，特別是項目組人員總是有限的，而一個Web系統(tǒng)能同時處理的請求數(shù)量將遠遠超出這個限度，所以，只有放在Internet上，接受負載測試，其結(jié)果才是正確可信的。進行壓力測試是指實際破壞一個Web應(yīng)用系統(tǒng)，測試系統(tǒng)的反映。壓力測試是測試系統(tǒng)的限制和故障恢復(fù)能力，也就是測試Web應(yīng)用系統(tǒng)會不會崩潰，在什么情況下會崩潰。黑客常常提供錯誤的數(shù)據(jù)負載，直到Web應(yīng)用系統(tǒng)崩潰，接著當系統(tǒng)重新啟動時獲得存取權(quán)。壓力測試的區(qū)域包括表單、登陸和其他信息傳輸頁面等。

三、可用性測試

1、導(dǎo)航測試導(dǎo)航描述了用戶在一個頁面內(nèi)操作的方式，在不同的用戶接口控制之間，例如按鈕、對話框、列表和窗口等;或在不同的連接頁面之間。通過考慮下列問題，可以決定一個Web應(yīng)用系統(tǒng)是否易于導(dǎo)航：導(dǎo)航是否直觀?Web系統(tǒng)的主要部分是否可通過主頁存取?Web系統(tǒng)是否需要站點地圖、搜索引擎或其他的導(dǎo)航幫助?在一個頁面上放太多的信息往往起到與預(yù)期相反的效果。Web應(yīng)用系統(tǒng)的用戶趨向于目的驅(qū)動，很快地掃描一個Web應(yīng)用系統(tǒng)，看是否有滿足自己需要的信息，如果沒有，就會很快地離開。很少有用戶愿意花時間去熟悉Web應(yīng)用系統(tǒng)的結(jié)構(gòu)，因此，Web應(yīng)用系統(tǒng)導(dǎo)航幫助要盡可能地準確。導(dǎo)航的另一個重要方面是Web應(yīng)用系統(tǒng)的頁面結(jié)構(gòu)、導(dǎo)航、菜單、連接的風(fēng)格是否一致。確保用戶憑直覺就知道Web應(yīng)用系統(tǒng)里面是否還有內(nèi)容，內(nèi)容在什么地方。Web應(yīng)用系統(tǒng)的層次一旦決定，就要著手測試用戶導(dǎo)航功能，讓最終用戶參與這種測試，效果將更加明顯。

2、圖形測試

在Web應(yīng)用系統(tǒng)中，適當?shù)膱D片和動畫既能起到廣告宣傳的作用，又能起到美化頁面的功能。一個Web應(yīng)用系統(tǒng)的圖形可以包括圖片、動畫、邊框、顏色、字體、背景、按鈕等。

圖形測試的內(nèi)容有：

(1)要確保圖形有明確的用途，圖片或動畫不要胡亂地堆在一起，以免浪費傳輸時間。Web應(yīng)用系統(tǒng)的圖片尺寸要盡量地小，并且要能清楚地說明某件事情，一般都鏈接到某個具體的頁面。

(2)驗證所有頁面字體的風(fēng)格是否一致。

(3)背景顏色應(yīng)該與字體顏色和前景顏色相搭配。

(4)圖片的大小和質(zhì)量也是一個很重要的因素，一般采用JPG或GIF壓縮。

3、內(nèi)容測試

內(nèi)容測試用來檢驗Web應(yīng)用系統(tǒng)提供信息的正確性、準確性和相關(guān)性。信息的正確性是指信息是可靠的還是誤傳的。例如，在商品價格列表中，錯誤的價格可能引起財政問題甚至導(dǎo)致法律糾紛;信息的準確性是指是否有語法或拼寫錯誤。這種測試通常使用一些文字處理軟件來進行，例如使用Microsoft Word的“拼音與語法檢查”功能;信息的相關(guān)性是指是否在當前頁面可以找到與當前瀏覽信息相關(guān)的信息列表或入口，也就是一般Web站點中的所謂“相關(guān)文章列表”。

4、整體界面測試

整體界面是指整個Web應(yīng)用系統(tǒng)的頁面結(jié)構(gòu)設(shè)計，是給用戶的一個整體感。例如：當用戶瀏覽Web應(yīng)用系統(tǒng)時是否感到舒適，是否憑直覺就知道要找的信息在什么地方?整個Web應(yīng)用系統(tǒng)的設(shè)計風(fēng)格是否一致?對整體界面的測試過程，其實是一個對最終用戶進行調(diào)查的過程。一般Web應(yīng)用系統(tǒng)采取在主頁上做一個調(diào)查問卷的形式，來得到最終用戶的反饋信息。對所有的可用性測試來說，都需要有外部人員(與Web應(yīng)用系統(tǒng)開發(fā)沒有聯(lián)系或聯(lián)系很少的人員)的參與，最好是最終用戶的參與。

四、客戶端兼容性測試

1、平臺測試

市場上有很多不同的操作系統(tǒng)類型，最常見的有Windows、Unix、Macintosh、Linux等。Web應(yīng)用系統(tǒng)的最終用戶究竟使用哪一種操作系統(tǒng)，取決于用戶系統(tǒng)的配置。這樣，就可能會發(fā)生兼容性問題，同一個應(yīng)用可能在某些操作系統(tǒng)下能正常運行，但在另外的操作系統(tǒng)下可能會運行失敗。因此，在Web系統(tǒng)發(fā)布之前，需要在各種操作系統(tǒng)下對Web系統(tǒng)進行兼容性測試。

2、瀏覽器測試

瀏覽器是Web客戶端最核心的構(gòu)件，來自不同廠商的瀏覽器對Java，、JavaScript、ActiveX、plug-ins或不同的HTML規(guī)格有不同的支持。例如，ActiveX是Microsoft的產(chǎn)品，是為Internet Explorer而設(shè)計的，JavaScript是Netscape的產(chǎn)品，Java是Sun的產(chǎn)品等等。另外，框架和層次結(jié)構(gòu)風(fēng)格在不同的瀏覽器中也有不同的顯示，甚至根本不顯示。不同的瀏覽器對安全性和Java的設(shè)置也不一樣。測試瀏覽器兼容性的一個方法是創(chuàng)建一個兼容性矩陣。在這個矩陣中，測試不同廠商、不同版本的瀏覽器對某些構(gòu)件和設(shè)置的適應(yīng)性。

五、安全性測試

Web應(yīng)用系統(tǒng)的安全性測試區(qū)域主要有：

(1)現(xiàn)在的Web應(yīng)用系統(tǒng)基本采用先注冊，后登陸的方式。因此，必須測試有效和無效的用戶名和密碼，要注意到是否大小寫敏感，可以試多少次的限制，是否可以不登陸而直接瀏覽某個頁面等。

(2)Web應(yīng)用系統(tǒng)是否有超時的限制，也就是說，用戶登陸后在一定時間內(nèi)(例如15分鐘)沒有點擊任何頁面，是否需要重新登陸才能正常使用。

(3)為了保證Web應(yīng)用系統(tǒng)的安全性，日志文件是至關(guān)重要的。需要測試相關(guān)信息是否寫進了日志文件、是否可追蹤。

(4)當使用了安全套接字時，還要測試加密是否正確，檢查信息的完整性。

(5)服務(wù)器端的腳本常常構(gòu)成安全漏洞，這些漏洞又常常被黑客利用。所以，還要測試沒有經(jīng)過授權(quán)，就不能在服務(wù)器端放置和編輯腳本的問題。

六、總結(jié)

本文從功能、性能、可用性、客戶端兼容性、安全性等方面討論了基于Web的系統(tǒng)測試方法?；赪eb的系統(tǒng)測試與傳統(tǒng)的軟件測試既有相同之處，也有不同的地方，對軟件測試提出了新的挑戰(zhàn)?；赪eb的系統(tǒng)測試不但需要檢查和驗證是否按照設(shè)計的要求運行，而且還要評價系統(tǒng)在不同用戶的瀏覽器端的顯示是否合適。重要的是，還要從最終用戶的角度進行安全性和可用性測試。

第三篇：Web網(wǎng)站滲透測試論文

---------------

裝 訂 線---------------

XXX職業(yè)技術(shù)學(xué)院 畢業(yè)設(shè)計（論文）

題目： Web網(wǎng)站滲透測試技術(shù)研究

系

(院)信息系 專業(yè)班級 計算機網(wǎng)絡(luò) 學(xué)

號 1234567890 學(xué)生姓名 XXX 校內(nèi)導(dǎo)師 XXX 職

稱 講師 企業(yè)導(dǎo)師 XXX 職

稱 工程師 企業(yè)導(dǎo)師

XXX

職

稱

工程師

摘 要： Web網(wǎng)站滲透測試技術(shù)研究

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用領(lǐng)域的擴張，網(wǎng)絡(luò)安全問題越來越重要。相對于傳統(tǒng)的系統(tǒng)安全，Web網(wǎng)站的安全得到了越來越多的重視。首先，越來越多的網(wǎng)絡(luò)業(yè)務(wù)不再用專門的客戶機/服務(wù)器模式開發(fā)，而是運行在Web網(wǎng)站上用瀏覽器統(tǒng)一訪問；其次，和比較成熟的操作系統(tǒng)安全技術(shù)比較，Web網(wǎng)站的安全防護技術(shù)還不夠完善，當前黑客也把大部分注意力集中在Web滲透技術(shù)的發(fā)展上，使Web網(wǎng)站安全總體上面臨相當嚴峻的局面。

為了確保Web網(wǎng)站的安全，需要采用各種防護措施。在各種防護措施中，當前最有效的措施是先自己模擬黑客攻擊，對需要評估的網(wǎng)站進行Web滲透測試，找到各種安全漏洞后再針對性進行修補。

本文在對Web網(wǎng)站滲透測試技術(shù)進行描述的基礎(chǔ)上，配置了一個實驗用Web網(wǎng)站，然后對此目標網(wǎng)站進行了各種黑客滲透攻擊測試，找出需要修補的安全漏洞，從而加深了對Web安全攻防的理解，有利于以后各種實際的網(wǎng)絡(luò)安全防護工作。

關(guān)鍵詞：

網(wǎng)絡(luò)安全；Web網(wǎng)站；滲透測試

Web site penetration testing technology research

Abstract：

With the expansion of the network technology development and applications, network security issues become increasingly important.Compared with the traditional system security, Web security has got more and more attention.First, more and more network applications no longer develop with specialized client / server model, but run on the Web site and accessed by browser;Secondly, operating system security technology is relatively safe, but secure Web site protection technology is still not perfect, so the most of the current hackers’ attention focused on the development of Web penetration technology, the Web site is facing serious security situation in general.To ensure the security Web site, you need to use a variety of protective measures.In a variety of protective measures, the most effective measure is to own hacking simulation, the need to assess the Web site penetration testing, to find a variety of security vulnerabilities before specific repair.Based on the Web site penetration testing techniques described, the configuration of an experimental Web site, then this target site penetration of various hacker attack test, identify areas that need patching security holes, thereby deepening of Web security offensive understanding, there is conducive to future practical network security protection work.Keywords：

Network Security, Web sites, penetration testing

目錄

第一章 概述................................................................................................1

1.1 網(wǎng)絡(luò)安全概述..........................................................................................1 1.2 Web網(wǎng)站面臨的威脅...............................................................................1 1.3 Web滲透測試概述...................................................................................2

第二章 Web滲透測試方案設(shè)計...................................................................4

2.1 滲透測試網(wǎng)站創(chuàng)建..................................................................................4 2.2 滲透測試工具選擇..................................................................................4 2.3滲透測試方法...........................................................................................5

第三章 Web滲透測試過程...........................................................................6

3.1 掃描測試Web網(wǎng)站..................................................................................6 3.2 尋找Web安全漏洞..................................................................................7 3.3 SQL注入攻擊測試...................................................................................9 3.4 XSS跨站攻擊測試.................................................................................13 3.5 網(wǎng)馬上傳攻擊測試................................................................................17

第四章 Web網(wǎng)站防護.................................................................................23

4.1 網(wǎng)站代碼修復(fù)........................................................................................23 4.2 其它防護措施........................................................................................24

總 結(jié).........................................................................................................25 參考文獻.....................................................................................................25

第一章 概述

1.1 網(wǎng)絡(luò)安全概述

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)越來越多地滲透到當前社會生活的方方面面，網(wǎng)上電子商務(wù)、電子政務(wù)、電子金融等業(yè)務(wù)日益普及，網(wǎng)絡(luò)上的敏感數(shù)據(jù)也越來越多，自然對網(wǎng)絡(luò)安全提出了更高的要求。

根據(jù)一般的定義，網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。要做到這一點，必須保證網(wǎng)絡(luò)系統(tǒng)軟件、應(yīng)用軟件、數(shù)據(jù)庫系統(tǒng)具有一定的安全保護功能，并保證網(wǎng)絡(luò)部件，如終端、調(diào)制解調(diào)器、數(shù)據(jù)鏈路的功能僅僅能被那些被授權(quán)的人訪問。

在現(xiàn)實世界中，由于網(wǎng)絡(luò)相關(guān)的各種軟硬件安裝、配置、管理上面基本不可能做到?jīng)]有任何缺陷和漏洞，所以可以說不存在絕對的網(wǎng)絡(luò)安全。尤其在當下網(wǎng)絡(luò)技術(shù)逐漸普及擴散的情境下，防范各種形式的黑客攻擊是網(wǎng)絡(luò)資源管理者必須嚴肅考慮的問題。

根據(jù)黑客攻擊的類型，大致可以分為兩種，一種是直接針對操作系統(tǒng)本身或應(yīng)用軟件的安全漏洞進行的攻擊，傳統(tǒng)的注入端口掃描、弱口令爆破、緩沖器溢出都屬于這種類型的攻擊，如果攻擊成功往往可以直接遠程控制目標系統(tǒng)，因此一旦出問題危害極大，但針對這種攻擊的防范技術(shù)也比較成熟，采用最新的安全操作系統(tǒng)、強大的防火墻和IDS入侵檢測系統(tǒng)可以將絕大部分入侵企圖拒之門外。另外一種就是針對動態(tài)Web網(wǎng)站進行的攻擊，它不像針對系統(tǒng)的攻擊那樣直接，成功后能在目標系統(tǒng)上進行的操作有限，往往還需要進行提權(quán)等后續(xù)工作，但目前Web網(wǎng)站本身設(shè)計上的安全防護水平普遍不高，針對Web網(wǎng)站的防范措施目前也還不夠成熟，所以有安全問題的Web網(wǎng)站非常多，Web網(wǎng)站的攻防也是現(xiàn)在安全技術(shù)領(lǐng)域的研究熱點。

1.2 Web網(wǎng)站面臨的威脅

傳統(tǒng)上，網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)采用C/S（客戶機和服務(wù)器）模式，即開發(fā)出安裝在普通客戶計算機上的遞交申請業(yè)務(wù)模塊和安裝在高性能服務(wù)器上的響應(yīng)請求業(yè)務(wù)模塊，這樣做的好處是性能高，響應(yīng)速度快，但缺點是需要為每個業(yè)務(wù)專門開發(fā)不同的服務(wù)端和客戶端，開發(fā)和學(xué)習(xí)的成本也高，所以現(xiàn)在的趨勢是將所有的服務(wù)模塊都放到Web網(wǎng)站上，而客戶機統(tǒng)一使用瀏覽器去訪問Web網(wǎng)站去實現(xiàn)業(yè)務(wù)功能。

用Web網(wǎng)站形式開發(fā)網(wǎng)絡(luò)業(yè)務(wù)有不少優(yōu)點，首先是客戶端統(tǒng)一為瀏覽器、降低了這方面的學(xué)習(xí)成本，另一方面，Web網(wǎng)站的主流開發(fā)語言（ASP、PHP、JSP等）是動態(tài)腳本語

言，比起用C/C++、Java等語言開發(fā)C/S程序，難度有所降低，有利于快速開發(fā)出所需的項目。但是從安全方面考慮，由于Web網(wǎng)站牽涉到的一些網(wǎng)絡(luò)協(xié)議先天的不足，以及由于網(wǎng)絡(luò)技術(shù)發(fā)展太快，網(wǎng)站復(fù)雜程度隨著需求擴展不斷膨脹，而網(wǎng)站開發(fā)程序員的水平和安全意識往往沒有跟上，導(dǎo)致Web網(wǎng)站非常容易出現(xiàn)各種安全漏洞，使黑客能夠?qū)ζ溥M行各種形式的攻擊，常見的Web安全漏洞主要有SQL注入和XSS跨站攻擊等。SQL注入

SQL注入（SQL injection）是發(fā)生在Web應(yīng)用程序和后臺數(shù)據(jù)庫之間的一種安全漏洞攻擊，它的基本原理是：攻擊者精心構(gòu)建一個包含了SQL指令的輸入數(shù)據(jù)，然后作為參數(shù)傳遞給應(yīng)用程序，在應(yīng)用程序沒有對輸入數(shù)據(jù)做足夠的檢查的情況下，數(shù)據(jù)庫服務(wù)器就會被欺騙，將本來只能作為普通數(shù)據(jù)的輸入當成了SQL指令并執(zhí)行。

數(shù)據(jù)庫是動態(tài)網(wǎng)站的核心，包含了很多網(wǎng)站相關(guān)的敏感數(shù)據(jù)，例如管理員的賬號和密碼等，所以一旦數(shù)據(jù)庫的信息被SQL注入非法查詢，這些敏感信息就會被泄露，導(dǎo)致嚴重后果。此外，SQL注入還可能被用于網(wǎng)頁篡改、網(wǎng)頁掛馬，更為嚴重的是，有些數(shù)據(jù)庫管理系統(tǒng)支持SQL指令調(diào)用一些操作系統(tǒng)功能模塊，一旦被SQL注入攻擊甚至存在服務(wù)器被遠程控制安裝后門的風(fēng)險。XSS跨站攻擊

簡單地說，XSS也是由于Web應(yīng)用程序?qū)τ脩舻妮斎脒^濾不嚴而產(chǎn)生，攻擊者利用XSS漏洞可以將惡意的腳本代碼（主要包括html代碼和JavaScript腳本）注入到網(wǎng)頁中，當其他用戶瀏覽這些網(wǎng)頁時，就會觸發(fā)其中的惡意腳本代碼，對受害者進行諸如Cookie信息竊取、會話劫持、網(wǎng)絡(luò)釣魚等各種攻擊。

與主動攻擊Web服務(wù)器端的SQL注入攻擊不同，XSS攻擊發(fā)生在瀏覽器客戶端，對服務(wù)器一般沒有直接危害，而且總體上屬于等待對方上鉤的被動攻擊，因此XSS這種安全漏洞雖很早就被發(fā)現(xiàn)，其危害性卻曾經(jīng)受到普遍忽視，但隨著網(wǎng)絡(luò)攻擊者挖掘出了原來越多的XSS漏洞利用方式，加上Web2.0的流行、Ajax等技術(shù)的普及，使得黑客有了更多機會發(fā)動XSS攻擊，導(dǎo)致近年來XSS攻擊的安全事件層出不窮，對XSS攻防方面研究的重視程度明顯提高。

當然，Web網(wǎng)站面臨的安全威脅還有很多，并且隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展而不斷更新，例如CSRF跨站請求偽造、界面操作劫持等。

1.3 Web滲透測試概述

由于各種安全漏洞，因特網(wǎng)上的Web網(wǎng)站面臨黑客攻擊的風(fēng)險，因此必須采取措施進行防護工作。傳統(tǒng)防火墻因為必須放行Web服務(wù)的端口（一般是80端口），所以對SQL注 2

入、XSS跨站攻擊之類入侵手段沒有防護效果，現(xiàn)在也出現(xiàn)了一些專門用于保護Web網(wǎng)站的安全設(shè)備，例如WAF防火墻、安全狗等，但這些設(shè)備并不是萬能的，往往容易被高水平的入侵者繞過。最有效的措施還是進行Web滲透測試。

滲透測試時安全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測試能夠直觀的讓管理人員知道自己網(wǎng)絡(luò)所面臨的問題。

Web滲透測試主要是對Web應(yīng)用程序和相應(yīng)的軟硬件設(shè)備配置的安全性進行測試。進行Web滲透測試的安全人員必須遵循一定的滲透測試準則，不能對被測系統(tǒng)進行破壞活動。Web安全滲透測試一般是經(jīng)過客戶授權(quán)的，采取可控制、非控制性質(zhì)的方法和手段發(fā)現(xiàn)目標服務(wù)器、Web應(yīng)用程序和網(wǎng)絡(luò)配置中存在的弱點。

通過Web滲透測試后，即可有針對性地對Web網(wǎng)站上的安全漏洞進行修補，最大程度地加固系統(tǒng)，確保安全。

第二章 Web滲透測試方案設(shè)計

2.1 滲透測試網(wǎng)站創(chuàng)建

為了研究Web滲透測試技術(shù)，我們需要一個測試用的Web網(wǎng)站，由于法律的限制，我們不能直接去攻擊互聯(lián)網(wǎng)上的Web網(wǎng)站，所以需要自己創(chuàng)建一個實驗測試用Web網(wǎng)站，這樣不但合法，而且還有利于測試完成后做修補加固和代碼審核工作。

測試Web網(wǎng)站可以創(chuàng)建在本地，也可以創(chuàng)建到自己購買的虛擬空間或云主機上，為了方便起見，這里選擇在云平臺上的一臺Windows 2003虛擬機系統(tǒng)上創(chuàng)建Web網(wǎng)站。

ASP、ASP.NET、PHP和JSP網(wǎng)站需要不同的環(huán)境，包括選用Apache、IIS、Nginx或者Weblogic中哪個Web服務(wù)器，數(shù)據(jù)庫也有Access、Microsoft SQL Server、MySQL以及Oracle等多種選擇。至于網(wǎng)站的源代碼，可以自己開發(fā)，但一般更常見是到互聯(lián)網(wǎng)上去搜尋開源的Web項目下載，例如中國站長網(wǎng)等，可以根據(jù)需求自己對網(wǎng)站源代碼進行適當?shù)牟眉粜薷?，也更好達到滲透測試目的。

如圖2-1所示，這里選用了IIS+ASP方案創(chuàng)建了一個測試用Web網(wǎng)站。

圖2-1 創(chuàng)建Web網(wǎng)站

2.2 滲透測試工具選擇

對Web網(wǎng)站進行滲透測試的工作是在一臺能訪問Web網(wǎng)站的攻擊機上實施的，這些測試工作有些可以直接用手工操作，不過如果有適當?shù)墓ぞ邘椭?，往往可以大幅度地提高滲 4

透測試的成功率和效率，因此選擇一套滲透測試用的工具軟件是必備的工作，這些工具一般包括端口掃描器、網(wǎng)站目錄掃描器、網(wǎng)站后臺掃描器、網(wǎng)站漏洞掃描器、SQL注入工具、XSS利用工具、轉(zhuǎn)碼工具、加解密工具等等。

如圖2-2所示，在本地攻擊機上安裝了一些常用的滲透測試工具。

圖2-2 滲透測試工具

2.3滲透測試方法

準備好測試用Web網(wǎng)站和滲透測試工具后，即可在攻擊機上開始進行Web滲透測試工作，方法是模擬真正黑客的入侵過程，綜合利用各種工具和手段，獲取目標Web網(wǎng)站甚至網(wǎng)站所在服務(wù)器上的權(quán)限，從而挖掘出網(wǎng)站的各種安全漏洞，為后面的安全加固提供依據(jù)。當然，這需要很高的技術(shù)水平和熟練的操作，沒有多年的經(jīng)驗積累是很難在各種情景下都能完成任務(wù)的，在下一章，我們就以一個比較簡單的，漏洞比較明顯的Web網(wǎng)站為例演示一下比較典型的Web滲透測試過程。

第三章 Web滲透測試過程

3.1 掃描測試Web網(wǎng)站

如圖3-1所示，滲透測試首先應(yīng)該先用Nmap之類的端口掃描工具掃描一下目標網(wǎng)站所在的服務(wù)器，了解開放的端口服務(wù)，目標可能的操作系統(tǒng)類型等信息。這里可以看到，目標服務(wù)器的80號端口是開放的，所以Web服務(wù)應(yīng)該是正常的。

圖3-1 端口掃描

然后用瀏覽器打開網(wǎng)站驗證，如圖3-2所示：

圖3-2 Web網(wǎng)站瀏覽

3.2 尋找Web安全漏洞

我們可以用一些自動化的網(wǎng)站掃描工具去檢測網(wǎng)站的常見漏洞，也可以用純手工的方式進行檢測，如圖3-3和3-4所示，在網(wǎng)頁URL后面添加“and 1=1”和“and 1=2”，發(fā)現(xiàn)網(wǎng)站返回的情況不同！說明這里存在著SQL注入漏洞。

圖3-3 SQL注入測試

圖3-4 SQL注入測試

如圖3-5所示，在地址欄后面添加“ “> ”，彈窗窗口出現(xiàn)，證明這里存在反射型XSS漏洞。

圖3-5 反射型XSS 如圖3-

6、3-7和3-8所示，在留言板里發(fā)表包含“ ”的帖子內(nèi)容，彈窗窗口出現(xiàn)，證明這里存在存儲型XSS漏洞。

圖3-6 留言板

圖3-7 XSS留言

圖3-8 存儲型XSS 3.3 SQL注入攻擊測試

在上一節(jié)已經(jīng)找到Web網(wǎng)站的SQL注入漏洞的基礎(chǔ)上，我們利用此漏洞去猜解網(wǎng)站后臺數(shù)據(jù)庫中的賬號和密碼，既可以用工具也可以用手工方式，這里為方便起見選用注入工具，如圖3-9和3-10所示，很快猜解出賬號和密碼。

圖3-9 工具掃描SQL注入漏洞

圖3-10 注入找到后臺賬號密碼

從密碼的形式可以看出不是明文而是原始密碼的MD5散列碼，MD5是單向散列函數(shù)，本來是不能破解的，不過如果密碼原文比較簡單，也可能用暴力破解的方式找到原密碼，如圖3-

11、3-12和3-13所示。

圖3-11 破解MD5

圖3-12 破解成功

圖3-13 破解出密碼原文

有了賬號和密碼后，掃描網(wǎng)站的管理后臺地址，如圖3-14所示。

圖3-14 掃描出管理后臺

如圖3-15和3-16所示，用前面注入猜解和破解獲取的賬號和密碼登錄，成功進入Web網(wǎng)站的管理后臺界面。

圖3-15 登錄管理后臺

圖3-16 進入管理后臺

3.4 XSS跨站攻擊測試

前面已經(jīng)通過手工方式探測到網(wǎng)站存在XSS漏洞，XSS漏洞屬于一種比較被動的安全漏洞，不能用來直接攻擊服務(wù)器，而是一部用來攻擊其他客戶端，具體利用的方法和形式很多，下面是利用XSS漏洞竊取管理員cookie的步驟。

圖3-17 XSS利用平臺網(wǎng)站

如圖3-17所示，XSS漏洞攻擊者自己創(chuàng)建一個具有XSS漏洞利用功能的網(wǎng)站，然后為自己創(chuàng)建一個項目，生成具有竊取cookie功能的代碼，如圖3-18所示：

圖3-18 XSS利用代碼

現(xiàn)在攻擊者可以設(shè)法利用各種欺騙手段讓其他Web網(wǎng)站用戶執(zhí)行XSS代碼，這里利用存儲型XSS漏洞，由攻擊者在留言板上發(fā)表包含XSS利用代碼的內(nèi)容插入網(wǎng)站數(shù)據(jù)庫，如圖3-19所示。

圖3-19 將代碼插入目標Web網(wǎng)站

如圖3-20所示，一旦Web網(wǎng)站的管理員在登錄狀態(tài)下查看了留言板，XSS利用代碼就 14

在后臺隱蔽執(zhí)行了。

圖3-20 管理員被攻擊

此時攻擊者回到XSS網(wǎng)站，會發(fā)現(xiàn)自己的項目中返回了數(shù)據(jù)，如圖3-21所示。

圖3-21 攻擊者收到cookie

如圖3-22所示，攻擊者竊取到了Web網(wǎng)站管理員的cookie信息。

圖3-22 竊取到的cookie值

如圖3-23和3-24所示，有了竊取到的cookie信息，再借助一些cookie修改工具，可以不輸入密碼直接進入管理后臺界面。

圖3-23 cookie修改工具

圖3-24 竊取cookie進入管理界面

3.5 網(wǎng)馬上傳攻擊測試

前面利用SQL注入漏洞拿到管理賬戶和密碼后可以非法進入后臺管理界面，但到這來一般并不能做多少事，用后臺權(quán)限篡改新聞掛黑頁是很無聊的事情，常見的做法是想辦法將網(wǎng)頁木馬上傳到網(wǎng)站獲取Webshell得到網(wǎng)站所在服務(wù)器的某些權(quán)限，然后有需要和可能再設(shè)法提權(quán)。

如圖3-25所示，在Web網(wǎng)站管理后臺里找到一個能夠上傳自己圖片的地方，然后選擇上傳文件，如圖3-26和3-27所示，直接上傳asp格式的網(wǎng)馬是通不過檢查的，所以上傳一個偽裝成圖片文件的小馬，結(jié)果成功上傳，并被自動重命名，如圖3-28和3-29所示。

圖3-25 上傳圖片

圖3-26 選擇文件

圖3-27 上傳網(wǎng)馬圖片

圖3-28 上傳成功

圖3-29 上傳文件位置和名稱

現(xiàn)在網(wǎng)馬內(nèi)容上傳上去了，但文件后綴名不對，所以不能訪問執(zhí)行，所以需要再利用類似如圖3-30所示的備份漏洞，將上傳的文件的后綴名成功改回asp。

圖3-30 備份改名

現(xiàn)在可以直接訪問上傳成功的網(wǎng)馬，如圖3-31所示是小馬的效果，利用它在上傳一個功能齊全的大馬，如圖3-32和3-33所示。

圖3-31 訪問網(wǎng)馬

圖3-32 上傳大馬

圖3-33 訪問大馬

現(xiàn)在可以直接訪問大馬網(wǎng)頁文件，如圖3-34所示，登錄成功后即得到類似圖3-35所示的Webshell界面，根據(jù)權(quán)限可以對Web網(wǎng)站所在的服務(wù)器進行操作，如果有其他系統(tǒng)和軟件漏洞，還可以設(shè)法提權(quán)，獲取對服務(wù)器的完全控制權(quán)。

圖3-34 網(wǎng)馬登錄

圖3-35 獲取Webshell

第四章 Web網(wǎng)站防護

4.1 網(wǎng)站代碼修復(fù)

經(jīng)過Web滲透測試，我們發(fā)現(xiàn)了網(wǎng)站的安全漏洞及其嚴重后果，下一步自然就是部署安全防護措施，堵塞漏洞。

對Web網(wǎng)站后臺代碼進行閱讀審核后，可知正是因為網(wǎng)站查詢數(shù)據(jù)庫的SQL語句缺少必要的過濾措施才導(dǎo)致了SQL注入、XSS等安全漏洞。修補漏洞的最好辦法是用安全編碼方式徹底重寫所有相關(guān)代碼，如果沒有這個條件，添加一些過濾代碼也是比較好的辦法，例如圖4-1所示，在數(shù)據(jù)庫連接文檔中添加了對用戶提交值中非法參數(shù)的檢測。

圖4-1 過濾代碼

添加過濾代碼后，黑客如果再企圖對Web網(wǎng)站進行諸如SQL注入之類的攻擊，就會被攔截而歸于失敗，如圖4-2所示。

圖4-2 SQL注入被攔截

需要注意的是，黑名單式的過濾代碼并不是萬能的，往往會被更高水平的黑客攻擊繞過，所以還應(yīng)根據(jù)攻防技術(shù)的發(fā)展及時更新，并結(jié)合其他安全防范措施。

4.2 其它防護措施

因為現(xiàn)在的Web網(wǎng)站功能越來越多，也越來越復(fù)雜，相應(yīng)的黑客攻擊技術(shù)也在不斷發(fā)展，所以往往不是單一的安全防護措施就能有效抵御各種滲透攻擊，而需要綜合采用各種措施，一方面盡可能將所有的安全漏洞堵住，另一方面可以爭取做到即使黑客攻破了某個安全措施，也會被其他安全措施攔截，將損失降低到最小。

目前比較常用的Web安全防范措施有：盡量選用高版本的操作系統(tǒng)Web服務(wù)器，設(shè)置高強度的密碼，給網(wǎng)站目錄設(shè)置最小的必要權(quán)限，加裝Web防火墻和殺毒軟件監(jiān)控網(wǎng)頁木馬等。

最后需要指出，Web滲透和防護技術(shù)還處在快速發(fā)展階段，所以沒有一勞永逸的安全，必須不斷學(xué)習(xí)，與時俱進。

總 結(jié)

網(wǎng)絡(luò)安全是當前的一個技術(shù)研究熱點，Web安全又是網(wǎng)絡(luò)安全中的一個核心問題。Web滲透測試則是強化Web網(wǎng)站安全的重要技術(shù)手段，它是在獲得授權(quán)的情況下，模擬真實的黑客攻擊手段對目標Web站點進行入侵測試，因此能夠最大程度挖掘出Web網(wǎng)站的安全漏洞，為Web安全防護提供有效依據(jù)。

本文是在真實網(wǎng)絡(luò)環(huán)境里自己搭建了一個Web網(wǎng)站，然后自己對其進行滲透測試，研究Web安全相關(guān)攻防技術(shù)。限于水平，創(chuàng)建的Web網(wǎng)站和攻防所用的技術(shù)都比較簡單，沒有涉及當前最新的Web網(wǎng)站漏洞測試，但仍然比較完整地展示了Web網(wǎng)站滲透測試和防護的過程，為以后進一步學(xué)習(xí)和工作打下良好基礎(chǔ)。

參考文獻

[1] 陳小兵，范淵，孫立偉.Web滲透技術(shù)及實戰(zhàn)案例解析 [M].北京：電子工業(yè)出版社，2012.4 [2] 王文君，李建蒙.Web應(yīng)用安全威脅與防治 [M].北京：電子工業(yè)出版社，2013.1 [3] 吳翰清.白帽子講Web安全 [M].北京：電子工業(yè)出版社，2012.3 [4] 鮑洪生.信息安全技術(shù)教程 [M].北京：電子工程出版社，2014.3 25

第四篇：網(wǎng)站總結(jié)

一：數(shù)據(jù)轉(zhuǎn)換 MRIcron MRIcron是一個跨平臺的支持NIFTI格式的醫(yī)學(xué)圖像可視化軟件，可以加載顯示多層醫(yī)學(xué)圖像，產(chǎn)生體積重建后的圖像；MRIcron還可以為其他平臺創(chuàng)建并輸出頭文件為解析格式的腦圖像。MRIcron中提供了用于數(shù)據(jù)格式轉(zhuǎn)換的dcm2nii功能，可用于DICOM轉(zhuǎn)換成NIFTI格式，還可用于NIFTI3D數(shù)據(jù)轉(zhuǎn)換成NIFTI4D格式。二：可視化軟件 1.ITK-SNAP ITK-SNAP是一個用于分割3D醫(yī)學(xué)圖像的應(yīng)用軟件，它是用C++，基于C++中的可視化分割和配準庫（ITK）是免費、開源且可跨平臺使用的。ITK-SNAP是由賓夕法尼亞大學(xué)佩恩圖像計算和科學(xué)實驗室（PICSL）的Paul Yushkevich博士和科學(xué)計算圖像研究所（SCI）的Guido Gerig博士合作開發(fā)完成。ITK-SNAP提供了基于活動輪廓算法的半自動分割方法，圖像顯示和手動描繪。

2.xjview

xjview是SPM工具箱中一個顯示的軟件包，可以顯示有差異的區(qū)域，在xjview中可以改變p值和FDR值的大小，從而觀察隨著不同閾值，區(qū)域差異的改變。下面兩幅圖是本人之前做過的比較男女大腦灰質(zhì)體積差異的結(jié)果，僅供參考。

3.Perl 4.Surf Ice是用于大腦皮層重建的跨平臺工具，其中還集成了大腦網(wǎng)絡(luò)連接的可視化和大腦解剖結(jié)構(gòu)圖譜，Surf Ice類似于MRIcron，但MRIcron是用于三維體積重建，而Surf Ice是用于大腦皮層重建。Surf Ice區(qū)別于其他流行分析工作的一個主要特點是采用可編程著色器，Surf Ice生成圖像包括三個階段，第一階段將畫出所有的項目并創(chuàng)建一個深度緩沖，第二個階段是相同的，但不包括解剖掃描，最后階段是使用深度緩沖來估計基于表面的大腦的深度，這些不同的圖像結(jié)合成最終的圖像。

目前Surf Ice集成大腦網(wǎng)網(wǎng)絡(luò)圖像，定義了節(jié)點和邊，所以可以用來分析海馬區(qū)的網(wǎng)絡(luò)連接，直接反應(yīng)海馬與大腦其他區(qū)域結(jié)構(gòu)連接情況，從而更好的分析網(wǎng)絡(luò)連接。6.TrackVis TrackVis是一個軟件能可視化并分析纖維追蹤產(chǎn)生于核磁圖像彌散張量成像（DTI），彌散光譜成像（DSI）和其他彌散圖像科技。

7.BrainNetViewer BrainNetViewer是一個用Matlab開發(fā)的腦網(wǎng)絡(luò)可視化軟件，可以顯示不同的腦結(jié)構(gòu)連接和腦功能連接，load file之后，可讀入的文件有以下四種，1）腦曲面文件（Brain surface files）：ASCII文件，后綴名為“nv”,包含了腦曲面上的定點和三角面片信息。

2）節(jié)點文件（node files）:ASCII文件，后綴名為“node”,為n×6的矩陣，包含了節(jié)點的坐標、顏色、大小和標簽信息。3）邊文件（edge files）：ASCII文件，后綴名為“edge”，為n×n的矩陣，即節(jié)點間的相關(guān)矩陣。

4）三維圖像文件（volume files）：NIFTI或Analyze格式，后綴名為配對的“hdr”和“img”該文件僅用于體素到曲面的映射繪制。

三：Linux資源

1.常用命令——文件和目錄 cd /home 進入’/home’目錄 cd..返回上一級目錄 cd../..返回上兩級目錄 cd 進入個人的主目錄

cp-f file1 file2 指定使用強制復(fù)制的模式把文件file1復(fù)制成file2 cp-R dir1 dir2 將目錄dir1復(fù)制成目錄dir2 cp-R file1 file2 file3 dir1 dir2 同時將文件file1 file2 file3與目錄dir1復(fù)制到dir2 cat file 查看文件內(nèi)容但不能編輯 ls 查看目錄中的文件

ls-l 列出文件詳細信息，包括創(chuàng)建者和時間，擁有的權(quán)限 ls-S以文件大小進行排序

ls-a 列出當前目錄下所有文件及目錄，包括隱藏的 ln創(chuàng)建鏈接文件

sudo su 獲得root用戶權(quán)限

chmod 777 file1 使文件獲取讀、寫、執(zhí)行的權(quán)限 mkdir dir1 創(chuàng)建一個叫’dir1’的目錄 mkdir dir1 dir2 同時創(chuàng)建兩個目錄

mkdir-p /tmp/dir1/dir2 創(chuàng)建一個目錄樹 rm-f file1 刪除一個叫做’file1’的文件

rmdir dir1 刪除一個叫做’dir1’的目錄,dir1是空目錄 rm-rf dir1 刪除一個叫做’dir1’的目錄并同時刪除其內(nèi)容 rm-rf dir1 dir2 同時刪除兩個目錄及它們的內(nèi)容

mvfile1 file2 file3 dir 把文件file1 file2 file3移動到目錄dir中 mv file1 file2 把文件file1重命名為file2 pwd顯示當前目錄

2.常用命令——文件搜索

find /-name ‘interfaces’搜索在根目錄下的所有interfaces文件所在位置

locate interfaces 在根目錄下搜索interfaces文件，它比find命令快，查詢的是數(shù)據(jù)庫（/var/lib/locatedb）,數(shù)據(jù)庫包含本地所有的文件信息。whereis搜索Linux系統(tǒng)中的所有可執(zhí)行文件即二進制文件.which查看系統(tǒng)命令是否存在，并返回系統(tǒng)命令所在的位置，s使用which命令查看grep命令是否存在以及存在的目錄的命令為”which grep”。

type命令查看系統(tǒng)中的某個命令是否為系統(tǒng)自帶的命令，type cd為使用type命令查看cd是否為系統(tǒng)自帶的命令。

3.常用命令——打包和壓縮文件

tar czvf my.tar.gz file1 單個文件壓縮打包

tar czvf my.tar.gz file1 file2,? 多個文件壓縮打包 tar xzvf my.tar.gz 解包至當前目錄 4.常用命令——文件編輯

vim是vi的高級版，vim編輯器的三種模式：一般模式、編輯模式和命令行模式

在一般模式中可以進行刪除、復(fù)制和粘貼的功能，但是無法編輯文件內(nèi)容，從一般模式切換到編輯模式可以按下i鍵 移動光標的方法：

[Ctrl]+[f]：屏幕向下移動一頁，相當于[PageDown]按鍵。[Ctrl]+[b]：屏幕向上移動一頁，相當于[PageUp]按鍵。0或功能鍵[Home]：移動到這一行的最前面字符處。$或功能鍵[End]：移動到這一行的最后面字符處。G：移動到這個文件的最后一行。gg：移動到這個文件的第一行。

N[Enter]：N為數(shù)字，光標向下移動N行。刪除、復(fù)制和粘貼：

x,X：在一行字中，x為向后刪除一個字符（相當于[Del]鍵），X為向前刪除一個字符（相當于[Backspace]）。dd：刪除光標所在的一整行。ndd：刪除光標所在的向下n行。yy：復(fù)制光標所在的一行。nyy：復(fù)制光標所在的向下n行。

p,P：p為將已復(fù)制的內(nèi)容在光標的下一行粘貼，P則為粘貼在光標的上一行。u：復(fù)原前一個操作。[Ctrl]+r：重做上一個操作。.：小數(shù)點，重復(fù)前一個操作。一般模式切換到編輯模式：

i,I：進入插入模式，i為從目前光標所在處插入。I為在目前所在行的第一個非空格字符處開始插入。

a，A：進入插入模式。a為從目前光標所在處的下一個字符處開始插入。A為從所在行的最后一個字符處開始插入。

o，O：進入插入模式。o為在下一行插入。O為在上一行插入。

r，R：進入替換模式。r只替換光標所在那個字符一次。R會一直替換光標所在字符，直到按下Esc鍵。

一般模式切換到命令行：

:w：將編輯的數(shù)據(jù)寫入到硬盤中。:q：離開vi.后面加！為強制離開。

:wq：保存后離開。:wq!為強制保存后離開。

gedit是一個GNOME桌面環(huán)境下兼容UTF-8的文本編輯器，使用GTK+編寫而成，簡單易用。命令如下：

gedit file1 編輯file1文件，基本操作和win下word操作類似

nano是一個字符忠犬的文本編輯器，比vi/vim要簡單得多，比較適合Linux初學(xué)者使用，nano命令可以打開指定文件進行編輯，默認情況下它會自動斷行，如若避免這種情況，加參數(shù)-w,命令如下： nano-w file Ctrl+G 獲得幫助 Ctrl+O 保存 Ctrl+E 退出 Ctrl+R 讀取文件

5.常用命令——Linux軟件包管理

dpkg(Debian Package)管理工具，軟件包名為.deb后綴，這種方法適合系統(tǒng)不能聯(lián)網(wǎng)的情況下。比如安裝tree命令的安裝包，先將tree.deb傳到Linux系統(tǒng)中，然后：

sudo dpkg-i tree_1.5.3-1_i386.deb 安裝軟件(tree_1.5.3-1_i386.deb是手動下

載下來的包)sudo dpkg-r tree 卸載軟件

安裝完成后，可以用命令查看軟件包相關(guān)信息 dpkg-L package 查看軟件包安裝的所有文件 dpkg-l package 顯示軟件包的版本 dpkg-s package 查找軟件包的詳細信息

gdebi是一個安裝Debian可執(zhí)行文件的專用程序，極其輕量，且專注于安裝.deb文件，gdebi最有用的功能是它也可以為你展示出將要安裝的程序的依賴。sudo apt-get install gdebi安裝gdebi程序 sudo gdebi package用gdebi安裝軟件包

apt（advanced packaging tool）高級軟件工具，這種方法適合系統(tǒng)能夠聯(lián)網(wǎng)的情況下，sudo apt-get install tree 安裝tree sudo apt-get remove tree 卸載tree sudoapt-get update 更新軟件 sudo apt-get upgrade 更新軟件

6.常用命令——關(guān)機/重啟電腦 shutdown-r 關(guān)機重啟 shutdown-h關(guān)機不重啟 shutdown now 立刻關(guān)機 halt關(guān)機 reboot重啟

四：服務(wù)器使用要求

1.使用服務(wù)器時，必須建立自己的用戶名，自己相關(guān)數(shù)據(jù)保存在自己的用戶名下。2.不得擅自改動服務(wù)器上的任何數(shù)據(jù)。

第五篇：網(wǎng)站的測試、維護及安全防護

實驗報告

實驗名稱：網(wǎng)站的測試、維護及安全防護 實驗班級：信管Ｂ1201 學(xué)

號：123629 實驗儀器：

計算機 實驗?zāi)康模?/p>

1、掌握網(wǎng)站的測試、維護的方法；

2、掌握網(wǎng)站安全防護的常用方法。實驗要求：

1、要求每位同學(xué)獨立完成實驗內(nèi)容。

2、按照實驗報告要求書寫報告并按時上交。實驗內(nèi)容及過程： 1.網(wǎng)站的測試

性能測試

（1）連接速度測試。用戶連接到電子商務(wù)網(wǎng)的速度與上網(wǎng)方式有關(guān)，他們或許是電話撥號，或是寬帶上網(wǎng)！

（2）負載測試。負載測試是在某一負載級別下，檢測電子商務(wù)系統(tǒng)的實際性能。也就是能允許多少個用戶同時在線！可以通過相應(yīng)的軟件在一臺客戶機上模擬多個用戶來測試負載。

（3）壓力測試。壓力測試是測試系統(tǒng)的限制和故障恢復(fù)能力，也就是測試電子商務(wù)系統(tǒng)會不會崩潰！

姓

名：李曉雪 實驗地點： 1S401 安全性測試 它需要對網(wǎng)站的安全性（服務(wù)器安全，腳本安全），可能有的漏洞測試，攻擊性測試，錯誤性測試。對電子商務(wù)的客戶服務(wù)器應(yīng)用程序、數(shù)據(jù)、服務(wù)器、網(wǎng)絡(luò)、防火墻等進行測試！用相對應(yīng)的軟件進行測試！

基本測試

包括色彩的搭配，連接的正確性，導(dǎo)航的方便和正確，CSS應(yīng)用的統(tǒng)一性

網(wǎng)站優(yōu)化測試

好的電子商務(wù)網(wǎng)站是看它是否經(jīng)過搜索引擎優(yōu)化了，網(wǎng)站的架構(gòu)、網(wǎng)頁的欄目與靜態(tài)情況等。

客戶端兼容性測試

1、平臺測試市場上有很多不同的操作系統(tǒng)類型，最常見的有Windows、Unix、Macintosh、Linux等。Web應(yīng)用系統(tǒng)的最終用戶究竟使用哪一種操作系統(tǒng)，取決于用戶系統(tǒng)的配置。這樣，就可能會發(fā)生兼容性問題，同一個應(yīng)用可能在某些操作系統(tǒng)下能正常運行，但在另外的操作系統(tǒng)下可能會運行失敗。因此，在Web系統(tǒng)發(fā)布之前，需要在各種操作系統(tǒng)下對Web系統(tǒng)進行兼容性測試。

2、瀏覽器測試瀏覽器是Web客戶端最核心的構(gòu)件，來自不同廠商的瀏覽器對Java、JavaScript、ActiveX、plug-ins或不同的HTML規(guī)格有不同的支持。例如，ActiveX是Microsoft的產(chǎn)品，是為Internet Explorer而設(shè)計的，JavaScript是Netscape的產(chǎn)品，Java是Sun的產(chǎn)品等等。另外，框架和層次結(jié)構(gòu)風(fēng)格在不同的瀏覽器中也有不同的顯示甚至根本不顯示不同的瀏覽器對安全性和Java的設(shè)置也不一樣。測試瀏覽器兼容性的一個方法是創(chuàng)建一個兼容性矩陣。在這個矩陣中，測試不同廠商、不同版本的瀏覽器對某些構(gòu)件和設(shè)置的適應(yīng)性。

2.網(wǎng)站的維護

維護內(nèi)容：

1、網(wǎng)頁文字、圖片進行修改以及企業(yè)新聞內(nèi)容每天都能更新，不改動網(wǎng)站的原來結(jié)構(gòu)和網(wǎng)頁模板。信息應(yīng)隨著公司的發(fā)展情況及時予以更新，固定檢查周期為一個星期。

2、如需要修改Flash，請?zhí)峁〧lash源文件。

3、域名和虛擬主機空間維護。

4、網(wǎng)站推廣維護以及供求信息的發(fā)布。

5、包括文章撰寫、頁面設(shè)計、圖形設(shè)計、廣告設(shè)計等服務(wù)內(nèi)容，把 企業(yè)的現(xiàn)有狀況及時地在網(wǎng)站上反映出來，以便讓客戶和合作伙伴及時的了解到最新動態(tài)，管理員也可以及時得到相應(yīng)的反饋信息，以便做出及時合理的處理。

工作流程：

1、拿到客戶資料，核對需求；

2、當天判斷工作量后，商定完成時間；

3、當天，簽發(fā)網(wǎng)站維護工作單 工作開展：

免費為客戶提供網(wǎng)站整站優(yōu)化服務(wù)，增加客戶的網(wǎng)站搜索引擎親和度； 使搜索引擎更多的關(guān)顧和收錄客戶網(wǎng)站頁面 網(wǎng)站優(yōu)化：

網(wǎng)站進行META標記優(yōu)化,W3C標準優(yōu)化,搜索引擎優(yōu)化等合理優(yōu)化操作，確保企業(yè)網(wǎng)站的頁面布局、結(jié)構(gòu)和內(nèi)容對于訪問者和搜索引擎都更加親和，使得您的企業(yè)網(wǎng)站能夠更多的被搜索引擎收錄，以及贏得更多潛在消費者的注目和好感。

網(wǎng)站改造：

伴隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)的發(fā)展以及服務(wù)器環(huán)境的改變，企業(yè)原有網(wǎng)站可能會出現(xiàn)兼容性、整體視覺、功能實現(xiàn)等方面的缺陷，網(wǎng)站改造可以彌補以上不足。

網(wǎng)站安全： 選配合適的防火墻系統(tǒng)并對防火墻進行定期管理和維護，制定安全策略，修補安全漏洞，消除安全隱患;采取有效措施防止黑客入侵，造成網(wǎng)站破壞，數(shù)據(jù)損壞，商業(yè)機密泄露，客戶資料丟失等損失。

病毒防治：

選擇合適的防病毒軟件，并在客戶端和服務(wù)器端進行安裝調(diào)試和升級;提供病毒預(yù)警服務(wù)，隨時提示病毒發(fā)作信息，降低病毒感染傳播機會，避免病毒發(fā)作造.成破壞在企業(yè)網(wǎng)站遭受病毒感染后，及時進行病毒清除，使網(wǎng)站盡快恢復(fù)運營。

日常維護：

配備最佳性價比的網(wǎng)站資源優(yōu)化方案，提高網(wǎng)絡(luò)運行效率;幫助企業(yè)建立系統(tǒng)安全管理和計算機使用管理制度;幫助企業(yè)建立計算機技術(shù)檔案，為設(shè)備管理和維護提供依據(jù);幫助企業(yè)進行網(wǎng)站內(nèi)容更新調(diào)整，網(wǎng)頁垃圾信息清理，網(wǎng)絡(luò)速度提升等網(wǎng)站維護操作定期檢查企業(yè)網(wǎng)絡(luò)和計算機工作狀態(tài)，降低系統(tǒng)故障率，為企業(yè)提供即時的現(xiàn)場與遠程技術(shù)支持并提交系統(tǒng)維護報告。故障恢復(fù)：建立全面的資料備份以及災(zāi)難恢復(fù)計劃，做到有備無患在企業(yè)網(wǎng)站系統(tǒng)遭遇突發(fā)嚴重故障而導(dǎo)致網(wǎng)絡(luò)系統(tǒng)崩潰后，在最短的時間內(nèi)進行恢復(fù)在重要的文件資料、數(shù)據(jù)被誤刪或遭病毒感染、黑客破壞后，通過技術(shù)手段盡力搶救，爭取恢復(fù)。

3.網(wǎng)站安全防護的方法

1網(wǎng)站的通用保護方法

針對黑客威脅，網(wǎng)絡(luò)安全管理員采取各種手段增強服務(wù)器的安全，確保WWW服務(wù)的正常運行。象在Internet上的Email、ftp等服務(wù)器一樣，可以用如下的方法來對WWW服務(wù)器進行保護： 安全配置

關(guān)閉不必要的服務(wù)，最好是只提供WWW服務(wù)，安裝操作系統(tǒng)的最新補丁，將WWW服務(wù)升級到最新版本并安裝所有補丁，對根據(jù)WWW服務(wù)提供者的安全建議進行配置等，這些措施將極大提供WWW服務(wù)器本身的安全。

防火墻 安裝必要的防火墻，阻止各種掃描工具的試探和信息收集，甚至可以根據(jù)一些安全報告來阻止來自某些特定IP地址范圍的機器連接，給WWW服務(wù)器增加一個防護層，同時需要對防火墻內(nèi)的網(wǎng)絡(luò)環(huán)境進行調(diào)整，消除內(nèi)部網(wǎng)絡(luò)的安全隱患。

漏洞掃描

使用商用或免費的漏洞掃描和風(fēng)險評估工具定期對服務(wù)器進行掃描，來發(fā)現(xiàn)潛在的安全問題，并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。入侵檢測系統(tǒng)

利用入侵檢測系統(tǒng)（IDS）的實時監(jiān)控能力，發(fā)現(xiàn)正在進行的攻擊行為及攻擊前的試探行為，記錄黑客的來源及攻擊步驟和方法 這些安全措施都將極大提供WWW服務(wù)器的安全，減少被攻擊的可能性。

2、網(wǎng)站的專用保護方法

盡管采用的各種安全措施能防止很多黑客的攻擊，然而由于各種操作系統(tǒng)和服務(wù)器軟件漏洞的不斷發(fā)現(xiàn)，攻擊方法層出不窮，技術(shù)高明的黑客還是能突破層層保護，獲得系統(tǒng)的控制權(quán)限，從而達到破壞主頁的目的。這種情況下，一些網(wǎng)絡(luò)安全公司推出了專門針對網(wǎng)站的保護軟件，只保護網(wǎng)站最重要的內(nèi)容--網(wǎng)頁。一旦檢測到被保護的文件發(fā)生了{非正常的}改變，就進行恢復(fù)。一般情況下，系統(tǒng)首先需要對正常的頁面文件進行備份，然后啟動檢測機制，檢查文件是否被修改，如果被修改就需要進行恢復(fù)。我們對以下幾個方面的技術(shù)進行分析比較：

監(jiān)測方式 ：

本地和遠程：檢測可以是在本地運行一個監(jiān)測端，也可以在網(wǎng)絡(luò)上的另一臺主機。如果是本地的話，監(jiān)測端進程需要足夠的權(quán)限讀取被保護目錄或文件。監(jiān)測端如果在遠端的話，WWW服務(wù)器需要開放一些服務(wù)并給監(jiān)測端相應(yīng)的權(quán)限，較常見的方式是直接利用服務(wù)器的開放的WWW服務(wù)，使用HTTP協(xié)議來監(jiān)測被保護的文件和目錄。也可利用其它常用協(xié)議來檢測保護文件和目錄，如FTP等。采用本地方式檢測的優(yōu)點是效率高，而遠程方式則具有平臺無關(guān)性，但會增加網(wǎng)絡(luò)流量等負擔(dān)。定時和觸發(fā)：

絕大部分保護軟件是使用的定時檢測的方式，不論在本地還是遠程檢測都是根據(jù)系統(tǒng)設(shè)定的時間定時檢測，還可將被保護的網(wǎng)頁分為不同等級，等級高的檢測時間間隔可以設(shè)得較短，以獲得較好的實時性，而將保護等級較低的網(wǎng)頁文件檢測時間間隔設(shè)得較長，以減輕系統(tǒng)的負擔(dān)。觸發(fā)方式則是利用操作系統(tǒng)提供的一些功能，在文件被創(chuàng)建、修改或刪除時得到通知，這種方法的優(yōu)點是效率高，但無法實現(xiàn)遠程檢測。比較方法 ：

在判斷文件是否被修改時，往往采用被保護目錄和備份庫中的文件進行比較，比較最常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下，一些保護軟件就采用文件的屬性如文件大小、創(chuàng)建修改時間等進行比較，這種方法雖然簡單高效，但也有嚴重的缺陷：{惡意入侵者}可以通過精心構(gòu)造，把替換文件的屬性設(shè)置得和原文件完全相同，{從而使被惡意更改的文件無法被檢測出來}。另一種方案就是比較文件的數(shù)字簽名，最常見的是MD5簽名算法，由于數(shù)字簽名的不可偽造性，數(shù)字簽名能確保文件的相同。

恢復(fù)方式 ：

恢復(fù)方式與備份庫存放的位置直接相關(guān)。如果備份庫存放在本地的話，恢復(fù)進程必須有寫被保護目錄或文件的權(quán)限。如果在遠程則需要通過文件共享或FTP的方式來進行，那么需要文件共享或FTP的帳號，并且該帳號擁有對被保護目錄或文件的寫權(quán)限。

3、網(wǎng)站保護的缺陷

盡管網(wǎng)站保護軟件能進一步提高系統(tǒng)的安全，仍然存在一些缺陷。首先這些保護軟件都是針對靜態(tài)頁面而設(shè)計，而現(xiàn)在動態(tài)頁面占據(jù)的范圍越來越大，盡管本地監(jiān)測方式可以檢測腳本文件，但對腳本文件使用的數(shù)據(jù)庫卻無能為力。