渗透测试中发现的安全漏洞及其防范林標】，李禧2(1.中国邮政集团公司信息技术局运行维护部，北京100016；2.中国联通北京市四区分公司市场营销部，北京100011)摘要：伴随着信息化建设的发展与进步，一方而，信息技术已深入各行各业；另一方而，信息安金问题也口益凸显。依据国家相关部门颁布的信息安全等级保护制度，信息系统运营单位应该定期对信息系统安全等级状况开展等级保护测评。渗透测试作为等级保护测评的重要一环，对信息系统的总体安全提出了较高要求。本文结合技术原埋，对信息系统渗透测试小发现的若干漏洞及其防范方案进行了讨论。关键词：数据女全与计算机安全；跨站脚木；后门程序中图分类号:TN911.6SecurityvulnerabilitiesandpreventionsinpenetrationtestingLINLim,LIBei2(1.OperationAndMaintenanceDepartment,ITBureauOfChinaPostGroup,Beijing100016;2.MarketingDepartment,BeijingBranchOfChinaUnicom,Beijing100011)Abstract:Withthedevelopmentandprogressofinformationsystemconstruction,ontheonehand,informationtechnologyhasbeendeeplyusedintoallpartsoflife;ontheotherhand,informationsecurityissuesarealsoincreasing!y.Accordingtothelevelofinformationsecurityprotectionsystembyourcountry,informationsystemoperatingcompanyshouldregularlycarryoutevaluationontheirinformationsystems.Penetrationtestingasanimportantpartofinformationsystemevaluation,hasstrictrequirementsontheoverallsecurityofinformationsystems.Combinedwiththetechnicalprinciple,thesecurityvulnerabilitiesandpreventionsinpenetrationtestingwillbediscussedinthispaper.Keywords:Dataandcomputersecurity;Cross-sitescripting;Backdooro引言信息安全等级保护是指对国家秘密信息、法人和其他纽织及公民的专冇信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中的信息安全事件分等级响应、处置。等级测评是指测评机构依据国家信息安全等级保护制度规定，按照何关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。渗透测试是等级测评中整体安全测评的一种手段。渗透测试是指渗透者完全模拟恶意黑客可能使川的攻击技术和漏洞发现技术，对被测系统的安全做深入的探测和评估，发现系统中最脆弱的环节。渗透测试能够使网络管理人员点观的了解口己网络可能出现的问题，能够知道入侵者可能利用的途径以及了解系统和网络安全强度。⑴下文将讨论渗透测试中常见的三个漏洞：跨站脚本漏洞、后门程序上传漏洞和Telnet远程访问漏洞。1跨站脚本漏洞跨站脚本漏洞攻击是指：攻击者将浏览器可执行脚本伪装为普通字符串发送给Web应作者简介林標，(1985-),男，助理工程师，信息安全。E-mail:benang39@gmail.com用服务器，借助Web应用服务器将这些脚木推送至客户端浏览器执行，从而盗取客户端信息的攻击。1.1原理解析现冇Web网络应用大多基于B/S结构(Browscr/Scrvc)结构，与C/S结构相比，B/S结构最核心的一点就是用浏览器取代了原有客八端程序。它使得主耍事务逻辑在服务器端实现，形成三层结构即：表示层、功能层、数据层。B/S体系结构把C/S结构的事务处理逻辑模块从客户机的任务中分离出来，由单独纽成的一层来负担其任务，从而减轻了客户机的压力，服务器将担负更多的工作，对数据库的访问和应用程序的执行将在服务器上完成。因此应用程序在部署、升级、维护时，只需要在服务器端配置就可以了。图1传统的B/S结构图1是一个传统的B/S结构，它的具体交互步骤为：客户端打开页面后提交用户数据表单，服务器端进行逻辑计算生成静态页面，服务器端向客户端推送页面，客户端通过浏览器显示页面。可以看出，这种结构将逻辑运算及数据存储集中在服务器端，尽量使得客户端得到相对稳定的静态数据。这冇利于应用的统一管理与更新，同时提窩了系统的安全性。但是某些悄况下，人们希望将简单的逻辑判断放在客户端执行，所以在传统的B/S架构下又衍牛出了前端脚本技术。...