基于渗透测试的应用安全问题分析.pdfVIP

与

信息技术信息化网络与信息安全

基于渗透测试的应用安全问题分析

12111

步京蓬张奕然周盛吕小兵杨莹

摘要针对当下网络安全形势提出通过渗透测试进行安全检测的方法，介绍了渗透测试概念及相关工作流程，

结合部分检测实例对口令安全、Web安全（文件上传漏洞、SQL注入、XSS攻击）、单点登录安全（明

文信息标识、简单编码标识、固定加密凭据）、开源组件安全（Struts2漏洞、Shiro反序列化漏洞、

Log4j远程代码执行漏洞）等重点应用安全问题及渗透方法进行分析，提出问题解决措施，同时建议建

立完善的渗透性安全检测机制，提升应用系统的安全防护水平，降低此类问题引发的安全风险。

关键词渗透测试；应用安全；口令安全；Web安全；单点登录安全；开源组件安全

doi：10.3969/j.issn.1672-9528.2024.08.039

0引言2应用安全问题

随着工业化与信息化的深度融合，网络和应用系统成为2.1口令安全

企业发展的重要辅助工具，网络安全的重要性日渐增加。目在近年发生的网络安全事件中，口令安全[6]的比例正逐

前企业网络安全防护通常依靠安全产品，通过防火墙进行网渐上升，因弱口令、口令复用等口令安全问题导致边界防护

络访问控制[1]、物理隔离等手段抵御外部互联网攻击，对于被突破的情况比比皆是。口令安全问题通常涉及应用系统、

应用系统自身存在的安全隐患则主要依靠漏洞扫描[2]、入侵操作系统服务、Web中间件、数据库等，可使用弱口令扫描

检测[3]等进行被动审计分析，难以根据应用系统实际情况准工具进行探测，或根据单位、人员的相关信息生成针对性字

确定位安全问题，缺乏在遭受攻击前主动发现并处理安全威典，通过Hydra、Burpsuite等工具进行暴力破解。

胁的能力。渗透测试作为一种新兴的安全防护检测手段，“以此类口令安全问题攻击成本较低，效果却十分明显，应

攻代守”，可发现传统检测方法难以识别的攻击路径、安全在日常安全管理中做好相关排查工作，定期开展网络安全教

脆弱点，打破了网络安全被动防护的局面。育培训，增强人员口令安全意识。

1渗透测试简介2.2Web安全

开放式Web应用程序安全项目（OWASP）于2023年公

1.1相关概念

[4]布了全网TOP10安全漏洞排名，其中传统Web安全[7]主要

渗透测试是一种安全风险检测、识别的方法，其模拟

涉及访问控制、注入等漏洞，相比过去几年，该类型的安全

攻击者视角，在取得合法授权的情况下对信息系统进行主动

问题比例已明显降低。尽管如此，传统Web安全问题带来的

攻击性尝试，以验证系统的安全性、必威体育官网网址性，及时发现相关

影响及危害仍不可忽视，尤其对于部分开发架构较为老旧的

脆弱点，促进系统维护人员针对性地采取防御措施，从而提