基于Web攻击的渗透技术研究
发布时间:2021-10-19 04:47
渗透测试是安全人员为了排除系统漏洞增强系统防护能力,站在攻击者的角度使用各种攻击手段对测试目标发起攻击,并最终给出一份详尽报告的过程。它的目标是为了查找漏洞从而增强系统防御水平,是目前安全工作者审视Web应用安全的常用手段之一。在渗透测试的攻击尝试阶段,渗透测试人员可能会利用各种Web攻击手段进行攻击尝试。近年来随着人们对Web安全问题的重视,CSRF攻击逐渐走进人们的视野,它是Web攻击中的一种,通过伪造用户请求达到攻击者的意图。本论文主要是在单步CSRF攻击的基础上,研究路由器场景下和多步CSRF渗透技术,并分析总结当前存在的CSRF防御手段。首先,阐述了本文研究的背景与意义,总结了国内外研究现状,系统介绍了渗透测试流程和测试常用技术,并对当前Web应用面临的主要攻击进行列举总结。详细分析了CSRF攻击的原理,从浏览器同源策略、Cookie策略、P3P头策略和跨站点资源共享等方面出发,阐述了存在CSRF漏洞的原因。其次,比较了GET和POST方式下的单步CSRF攻击,在此基础上提出路由器中可能存在的CSRF攻击以及多步CSRF漏洞的利用,更深层次的挖掘了CSRF攻击的方式和手法。搭...
【文章来源】:沈阳理工大学辽宁省
【文章页数】:78 页
【学位级别】:硕士
【部分图文】:
站点遭受的Web攻击类型Fig1.1Thetypeofwebattacksufferedbythesite由此可见,目前Web应用面临的安全问题仍然相当严峻,渗透测试技术研究
‐ 12 ‐ 图 2.2 PTES 思维导图Fig2.2 PTES mind mapping由图 2.2 可知整体流程大概分为七大块,分为是:(1)前期交互阶段前期交互阶段和软件工程里的需求分析阶段有点相似,在整个渗透测试流程中起着重要作用。在这个阶段专业操作人员需要和用户充分沟通,何时开展渗透
某个端口发送试探数据包,然后记录目标主机的口是否打开,进而得知目标主机是否提供对应服,端口扫描技术主要可以分为 TCP Connect()扫描描和 UDP 扫描[35]。 Connect()扫描ect()扫描又被称为全扫描,它是一种最基本的 TC试和目标端口建立一次全连接。如果 connect()成状态;如果返回-1,代表目标端口并未开放,也理人员可以根据远程地址登录记录查看并追踪恶 IP 的消息,所以我们在扫描时应该主要隐藏。但是在于,会在目标系统的日志文件中留下踪迹。所洞扫描。端口开放和端口关闭示意图分别如图 2
【参考文献】:
期刊论文
[1]浅析CSRF漏洞检测、利用及防范[J]. 严亚萍,胡勇. 通信技术. 2017(03)
[2]CSRF原理以及防护措施[J]. 杨家. 电脑与电信. 2016(03)
[3]使用跨站伪造请求(CSRF)来攻击网络设备[J]. 钱伟俊. 信息安全与通信保密. 2014(08)
[4]基于服务器端CSRF防御研究[J]. 徐淑芳,郭帆,游锦鑫. 无线互联科技. 2014(03)
[5]CRSF攻击机制及防御策略研究[J]. 龚宇,周安民,李娟. 信息安全与通信保密. 2014(01)
[6]单点登录系统的设计与实现[J]. 杜歆文. 电视技术. 2013(24)
[7]CSRF新型利用及防范技术研究[J]. 季凡,方勇,蒲伟,周妍. 信息安全与通信保密. 2013(03)
[8]网络安全渗透测试研究[J]. 常艳,王冠. 信息网络安全. 2012(11)
[9]基于Web的电子政务安全防范[J]. 谷宁静. 信息安全与通信保密. 2012(09)
[10]HTML5带来的WEB应用变革及安全问题研究[J]. 王荣国. 电脑开发与应用. 2012(07)
硕士论文
[1]基于链接分析的CSRF检测技术研究[D]. 吴安彬.电子科技大学 2016
[2]基于Web安全的渗透测试技术研究[D]. 吴松泽.哈尔滨师范大学 2015
[3]Web应用系统漏洞定位技术研究与实现[D]. 张莹莹.广东工业大学 2015
[4]Web应用常见漏洞的产生场景和检测规则研究[D]. 张金发.暨南大学 2015
[5]基于Node.js的XSS和CSRF防御研究与实现[D]. 李宗森.西安电子科技大学 2014
[6]Web应用程序渗透测试方法研究[D]. 赵丽娟.中南大学 2014
[7]Web应用安全网关部分功能的设计与实现[D]. 庞博.北京交通大学 2013
[8]基于木马的网络渗透测试的研究[D]. 谢志锋.太原理工大学 2013
[9]基于HTML5的CSRF攻击与防御技术研究[D]. 王晓强.电子科技大学 2013
[10]Web应用漏洞的分析和防御[D]. 肖红.西安电子科技大学 2013
本文编号:3444180
【文章来源】:沈阳理工大学辽宁省
【文章页数】:78 页
【学位级别】:硕士
【部分图文】:
站点遭受的Web攻击类型Fig1.1Thetypeofwebattacksufferedbythesite由此可见,目前Web应用面临的安全问题仍然相当严峻,渗透测试技术研究
‐ 12 ‐ 图 2.2 PTES 思维导图Fig2.2 PTES mind mapping由图 2.2 可知整体流程大概分为七大块,分为是:(1)前期交互阶段前期交互阶段和软件工程里的需求分析阶段有点相似,在整个渗透测试流程中起着重要作用。在这个阶段专业操作人员需要和用户充分沟通,何时开展渗透
某个端口发送试探数据包,然后记录目标主机的口是否打开,进而得知目标主机是否提供对应服,端口扫描技术主要可以分为 TCP Connect()扫描描和 UDP 扫描[35]。 Connect()扫描ect()扫描又被称为全扫描,它是一种最基本的 TC试和目标端口建立一次全连接。如果 connect()成状态;如果返回-1,代表目标端口并未开放,也理人员可以根据远程地址登录记录查看并追踪恶 IP 的消息,所以我们在扫描时应该主要隐藏。但是在于,会在目标系统的日志文件中留下踪迹。所洞扫描。端口开放和端口关闭示意图分别如图 2
【参考文献】:
期刊论文
[1]浅析CSRF漏洞检测、利用及防范[J]. 严亚萍,胡勇. 通信技术. 2017(03)
[2]CSRF原理以及防护措施[J]. 杨家. 电脑与电信. 2016(03)
[3]使用跨站伪造请求(CSRF)来攻击网络设备[J]. 钱伟俊. 信息安全与通信保密. 2014(08)
[4]基于服务器端CSRF防御研究[J]. 徐淑芳,郭帆,游锦鑫. 无线互联科技. 2014(03)
[5]CRSF攻击机制及防御策略研究[J]. 龚宇,周安民,李娟. 信息安全与通信保密. 2014(01)
[6]单点登录系统的设计与实现[J]. 杜歆文. 电视技术. 2013(24)
[7]CSRF新型利用及防范技术研究[J]. 季凡,方勇,蒲伟,周妍. 信息安全与通信保密. 2013(03)
[8]网络安全渗透测试研究[J]. 常艳,王冠. 信息网络安全. 2012(11)
[9]基于Web的电子政务安全防范[J]. 谷宁静. 信息安全与通信保密. 2012(09)
[10]HTML5带来的WEB应用变革及安全问题研究[J]. 王荣国. 电脑开发与应用. 2012(07)
硕士论文
[1]基于链接分析的CSRF检测技术研究[D]. 吴安彬.电子科技大学 2016
[2]基于Web安全的渗透测试技术研究[D]. 吴松泽.哈尔滨师范大学 2015
[3]Web应用系统漏洞定位技术研究与实现[D]. 张莹莹.广东工业大学 2015
[4]Web应用常见漏洞的产生场景和检测规则研究[D]. 张金发.暨南大学 2015
[5]基于Node.js的XSS和CSRF防御研究与实现[D]. 李宗森.西安电子科技大学 2014
[6]Web应用程序渗透测试方法研究[D]. 赵丽娟.中南大学 2014
[7]Web应用安全网关部分功能的设计与实现[D]. 庞博.北京交通大学 2013
[8]基于木马的网络渗透测试的研究[D]. 谢志锋.太原理工大学 2013
[9]基于HTML5的CSRF攻击与防御技术研究[D]. 王晓强.电子科技大学 2013
[10]Web应用漏洞的分析和防御[D]. 肖红.西安电子科技大学 2013
本文编号:3444180
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3444180.html
