由于Web存有大量的安全隐患问题,本文为此提出Web渗透实例分析与实践研究。以某医疗Web为例,对其进行渗透测试分析。运用NMAP和Burpsuite等工具对Web进行扫描,检测出Web存有注入类漏洞;通过Appscan、Wireshark等工具对Web找回密码过程发送的HTTP请求进行抓包,发现Web存有脚本类漏洞;通过X-Scan扫描器扫描,发现Web服务器中web.coinsdf明文存储了数据库的账户连接信息,证明Web存在配置类漏洞;经渗透测试,表明该医疗Web以注入漏洞、失效身份认证、跨网站脚本(XSS)三种问题漏洞数量最多。Web渗透实践过程中需要经历目标搜索、信息收集、漏洞探索、漏洞利用、内网转发、内网渗透、痕迹清除、撰写测试等流程,以此来能保证渗透结果的有效性。

• 单位
  福建林业职业技术学院