工程項(xiàng)目中常采用各種技術(shù)來(lái)保證整個(gè)信息系統(tǒng)的安全,在投入使用之前都還需要進(jìn)行滲透測(cè)試,來(lái)發(fā)現(xiàn)系統(tǒng)隱藏的風(fēng)險(xiǎn),對(duì)發(fā)現(xiàn)的問題提前進(jìn)行防范。 

【文章來(lái)源】：邢臺(tái)職業(yè)技術(shù)學(xué)院學(xué)報(bào). 2020,37(01)

【文章頁(yè)數(shù)】：5 頁(yè)

【文章目錄】：
一、前言
二、信息收集
    （一）被動(dòng)收集
    （二）主動(dòng)收集
三、滲透測(cè)試
    （一）攻擊平臺(tái)
        1. 攻擊WEB平臺(tái)
        2. 攻擊WEB框架
    （二）攻擊認(rèn)證
        1. 密碼保護(hù)性不強(qiáng)
        2. 密碼爆破登錄
        3. 前端效驗(yàn)缺陷
        4. 明文敏感傳輸信息
        5. 撞庫(kù)漏洞
    （三）攻擊會(huì)話
        1. 身份標(biāo)識(shí)過于簡(jiǎn)單
        2. 身份標(biāo)識(shí)可預(yù)測(cè)
    （四）訪問控制攻擊
        1. 完全不受保護(hù)的功能
        2. 基于標(biāo)識(shí)符的功能
        3. 多階段功能
        4. 靜態(tài)文件
        5. 訪問控制方法不安全
            （1）基于參數(shù)的訪問控制
            （2）基于Referer的訪問控制
            （3）基于位置的訪問控制
    （五）攻擊數(shù)據(jù)存儲(chǔ)
        1. SQL語(yǔ)句注入漏洞
        2. xpath注入
    （六）攻擊應(yīng)用程序邏輯
        1. 例1：欺騙修改密碼功能
            （1）功能
            （2）假設(shè)
            （3）攻擊方法
        2. 例2：直接結(jié)算
            （1）功能
            （2）假設(shè)
            （3）攻擊方法
        3. 例3：獲得購(gòu)買折扣
            （1）功能
            （2）假設(shè)
            （3）攻擊方法
    （七）攻擊用戶
        1. XSS攻擊
四、結(jié)束語(yǔ)


【參考文獻(xiàn)】：
期刊論文
[1]Web滲透測(cè)試方法研究[J]. 孫梅,郭宇燕,韓超,余磊.  通化師范學(xué)院學(xué)報(bào). 2019(02)
[2]WEB應(yīng)用安全研究[J]. 黃定華,徐志偉.  電子技術(shù)與軟件工程. 2016(16)



本文編號(hào)：3080327