绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证应用本身的安全,给黑客以可乘之机。当今世界,Internet(因特网)已经成为一个非常重的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有到足够的重视。由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐渐转移到了对Web应用的攻击上。根据Gartner的调查,信息安全攻击有75%都是发生Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击,然而现实却是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意上保证Web应用本身的安全,给黑客以可乘之机。
一、Web安全介绍
1.1什么是Web应用
Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过因特网和企业的Web应用交互,由Web应用和企业后台的数据库及其他动态内容通信。
1.2 Web应用的架构
尽管不同的企业会有不同的Web环境搭建方式,一个典型的Web应用通常是标准的三层架构模型,如图1所示。
图1 Web应用通常是标准的三层架构模型
在这种最常见的模型中,客户端是第一层;使用动态Web内容技术的部分属于中间层;数据库是第三层。用户通过Web浏览器发送请求( request)给中间层,由中间层将用户的请求转换为对后台数据的查询或是更新,并将最终的结果在浏览器上展示给用户。
二、Web安全渗透测试分析
2.1什么是Web渗透测试
渗透测试( Penetration Test)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的问题。而Web渗透测试主要是对Web应用程序和相应的软硬件设备配置的安全性进行测试。进行Web渗透测试的安全人员必须遵循一定的渗透测试准则,不能对被测系统进行破坏活动Web安全渗透测试一般是经过客户授权的,采用可控制、非破坏性质的方法和手段发现目标服务器、Web应用程序和网络配置中存在的弱点。它的适用范围即可以在Web系统发布之前进行安全测试,也可以在系统发布之后,持续跟踪渗透测试Web系统,从而在最大限度上保证Web系统的安全。
2.2 web安全渗透测试分类
实际上,渗透测试并没有严格的分类方式,