网络信息安全的WEB渗透分析与对策探讨-开题报告

A. 文献综述

一、信息安全国内外现状

我国互联网发展正处于快速上升阶段，在互联网各方向的程序应用趋于普及并逐渐饱和的情况下，互联网信息安全的重要程度也随之提高。

在国内外企业级信息化系统中，WEB应用是使用最为广泛的一种应用环境，基于WEB应用的特性，业务可以在不同操作系统的电脑及移动端等平台运行，随着目前信息技术的发展，越来越多的敏感数据存储在WEB类应用中。但WEB应用程序或者基于WEB进行的数据处理在其机制上存在安全漏洞，这也导致黑客很容易进行攻击渗透并获取信息。一套信息系统上线之前仅仅对后端服务设备环境做安全设备部署，但是忽略了应用层的安全部署，导致信息从应用层泄露，是目前发生信息泄露的重要原因之一。

国家互联网应急中心（CNCERT）在2019年信息安全态势报告中统计全国捕获计算机恶意程序样本数量超过6,200万个，日均传播次数达到824万余次，互联网恶意程序占比前三为信息窃取、流浪行为及资源消耗三大类。同时2019年国内外也发生多起数据泄露事件，导致大量如人脸识别数据、征信信息等私人信息由互联网应用服务商处外泄，其中绝大部分事件为攻击者通过应用内漏洞进行攻击导致。安全测试服务厂商Cenzic与数据分析公司Gartner提供的报告称，超过90%的基于WEB的应用存在可被犯罪分子利用的安全漏洞，每个应用的漏洞数量平均达到13个。

从现今推行的企业信息安全整体架构看来，常见的安全体系主要围绕信息的保密性、完整性、可用性三大特点进行保护，包括对网络系统服务可用性及可恢复性的保护，拒绝非法访问与非授权访问和对网络传输过程中数据的保护等安全目标。而攻击方则通过目标侦擦、目标测试、利用漏洞、获取访问权限、保持访问的步骤获取有价值数据，这其中可能包含社会工程、网络层级、系统层级的不同级别的攻击行为。

目前互联网信息安全界将不同安全隐患程度的漏洞从高到低分有一、高危漏洞：可以直接被利用的漏洞，并且利用难度较低。利用之后可能对网站或服务器的正常运行造成严重影响、对用户财产及个人信息造成重大损失。二、中危漏洞 : 利用难度极高，或满足严格条件才能实现攻 击的漏洞。或漏洞本身无法被直接攻击，但能为进一步攻击起较大 帮助作用的漏洞。三、低危漏洞：无法直接实现攻击，当信息泄露可能让攻击 者更容易找到其他安全漏洞。参考不同层级漏洞可以明确各类漏洞的重要程度。

WEB应用攻击方式基于WEB的运行机制，主要从浏览器及应用后台数据库着手，该类攻击手段是目前互联网环境中主要攻击方式之一。对于维护WEB应用安全的主要方式手段是渗透测试。渗透测试通过模拟信息攻击方对防守方进行多层次渗透测试以找出目标信息体系内薄弱环节与潜在威胁加以修复，在Joseph Muniz出版的《web渗透测试》一书中提到：通过渗透测试报告直面漏洞的关联与影响程度，可以大幅提高修复漏洞效率，有效降低漏洞数量。研究证明，完善的渗透测试有助于建立完善的信息安全体系，同时在一定程度上可以减少攻击损失，渗透测试技术对保障网站信息安全是可行且有效的。

执行渗透测试的环境一般选择Linux系统，结合国内外多种研究案例，推荐使用的环境系统主要是Kali Linux。Kali Linux是一款专门用于渗透测试与安全审计的系统，其优势是集成了多种渗透测试中常用的工具并且对渗透测试中各环节需要的工具进行优化与整合，目前仍处于保持高频率更新中。同时Kali Linux也是一套开源系统，支持独立深度开发，是广泛使用的信息安全重要工具集，渗透测试者借助这一系统能够满足绝大部分测试工作需要。