阿里云優惠券 先領券再下單

國內對滲透測試以及安全評估的研究起步較晚，并且大多集中在在滲透測試技術上的研究，安全評估方面也有部分企業和研宄團體具有系統的評估方式。然而國內對基于滲透測試的自動化集成系統研宄還非常少，從目前的網絡安全態勢來看，傳統的滲透測試方式己經無法滿足現在網站對安全性能的要求，傳統的滲透測試技術和工具都還停留在運用單一滲透測試方法或是單種測試工具，無法全面檢測出網站系統存在的漏洞。

目前國內外使用比較普遍的攻擊方法主要有三種：

(1)跨站腳本：一般縮寫為XSS。這個漏洞是由于攻擊者通過終端向應用程序提交數據，數據上傳至服務器的過程中沒有對提交的數據進行嚴格審核和檢查，導致正常用戶運行應用程序時啟動了惡意攻擊者嵌入程序中的代碼，大量用戶被攻擊。攻擊者不僅可以竊取用戶和系統管理員的cookie，還可以進行掛馬操作，使更多的訪問用戶被惡意代碼攻擊。在如今網站各項技術非常普及的情況下，蠕蟲也有可能能利用跨站腳本存在的漏洞，對網站進行大規模攻擊，造成極大危害。

(2)SQL注入攻擊：這種攻擊是由于用戶在前端頁面輸入數據時，后臺程序沒有過濾輸入的特殊字符，異常數據直接和SQL語句組成正常的執行語句去執行，導致不需要密碼就能夠直接登陸，泄露網站的信息。因此攻擊者可以構造隱蔽的SQL語句，當后臺程序執行語句時，攻擊者未經系統和程序授權就能修改數據，甚至在數據庫服務器上執行系統命令，對網站的安全體系帶來嚴重威脅。這種漏洞的根本原因是，編程人員在編寫程序時，代碼邏輯性和嚴謹性不足，讓攻擊者有機可乘。早期的SQL查詢方式存在很大問題，使用了一種簡單的拼接的方式將前端傳入的字符拼接到SQL語句中?，F在通常采用傳參的方式避免SQL注入攻擊例如使用MYBAIIS框架替代早期對數據庫的增刪改查方式，因此，防止這種攻擊辦法的最好方式是完善代碼的嚴謹性，另一方面是對網站原有代碼重新梳理、編寫，以安全的方式執行SQL語句查詢的執行。

(3)URL篡改：對使用HTTP的get方法提交HTML表單的網站，表單中的參數以及參數值會在表單提交后，作為所訪問的URL地址的一部分被提交，攻擊者就可以直接對URL字符串進行編輯和修改，并且能在其中嵌入惡意數據，然后，訪問這個被嵌入的惡意數據，再反饋給WEB應用程序。如果想要對網站或APP進行全面的滲透測試服務的話，可以向網站安全公司或滲透測試公司尋求服務。

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！