資料載入處理中...
跳到主要內容
臺灣博碩士論文加值系統
:::
網站導覽
|
首頁
|
關於本站
|
聯絡我們
|
國圖首頁
|
常見問題
|
操作說明
English
|
FB 專頁
|
Mobile
免費會員
登入
|
註冊
切換版面粉紅色
切換版面綠色
切換版面橘色
切換版面淡藍色
切換版面黃色
切換版面藍色
功能切換導覽列
(2600:1f28:365:80b0:2119:b261:d24c:ce10) 您好!臺灣時間:2025/01/21 07:39
字體大小:
字級大小SCRIPT,如您的瀏覽器不支援,IE6請利用鍵盤按住ALT鍵 + V → X → (G)最大(L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小,如為IE7或Firefoxy瀏覽器則可利用鍵盤 Ctrl + (+)放大 (-)縮小來改變字型大小。
字體大小變更功能,需開啟瀏覽器的JAVASCRIPT功能
:::
詳目顯示
recordfocus
第 1 筆 / 共 1 筆
/1
頁
論文基本資料
摘要
外文摘要
目次
參考文獻
電子全文
紙本論文
QR Code
本論文永久網址
:
複製永久網址
Twitter
研究生:
高廷瑋
研究生(外文):
KAO, TING-WEI
論文名稱:
開源碼網站之安全性滲透測試研究-以Kali平台為例
論文名稱(外文):
Study on Safety Penetration Test of Open Source Website-The Case of Kali System Platform
指導教授:
鄭進興
指導教授(外文):
CHENG,JINN-SHING
口試委員:
董信煌
、
林哲正
口試委員(外文):
DOONG,SHING-HWANG
、
LEE,CHING-CHANG
口試日期:
2018-11-22
學位類別:
碩士
校院名稱:
國立高雄科技大學
系所名稱:
資訊管理系
學門:
電算機學門
學類:
電算機一般學類
論文種類:
學術論文
論文出版年:
2018
畢業學年度:
107
語文別:
中文
論文頁數:
169
中文關鍵詞:
網路安全
、
安全測試
、
Kali-Linux
、
滲透測試
、
網站應用程式漏洞
外文關鍵詞:
Network Security
、
Security Testing
、
Kali Linux
、
Penetration Test
、
Web Application Vulnerability
相關次數:
被引用:
1
點閱:1153
評分:
下載:19
書目收藏:1
網際網路的蓬勃發展為生活帶來許多便利,但多數程式開發者或網站管理者都將網站功能性視為重點並未顧慮到網站應用程式系統之安全性,尤其像是許多人採用開源碼WEB的內容管理系統(CMS)來架設網站,其潛藏漏洞的安全隱憂也帶來極大的風險。各式各樣的網路駭客攻擊事件如APT、DDOS、XSS、SQL Injection等不同資安事件類型皆層出不窮,網站應用系統的安全面臨著嚴峻的考驗,因此滲透測試技術已成為保障網站資訊安全的一種重要手段。
公務機關與企業針對資訊系統安全之問題各有不同的應變手段,例如以防火牆、IPS、IDS等進行安全防護,或者採用委外服務以滲透測試方法驗證其組織系統安全。滲透測試是一種在獲得用戶單位授權的情況下,對於用戶的資訊系統實施漏洞攻擊的方法,目前所有滲透測試的技術體系及理論都處於不斷完善和更新中,在分析駭客攻擊行為流程與當前公務部門與企業內被接受程度較高的幾個標準技術測試體系理論,利用Kali Linux中提供的工具進行了深入的實務測試,說明一套完整的滲透測試的思維、流程、步驟和結果輸出等給各位網路管理者提供參考,本研究提出一種基於開源碼內容管理系統WEB安全脆弱性及常見漏洞進行滲透測試分析,透過模擬真實的攻擊來對網站系統進行全面的安全檢測,最後總結出開源碼網站XOOPS常見的漏洞並提出了較為完善的防護措施,以達到實現評估和強化WEB應用系統安全的目的,並提高滲透測試效率和能力。
The rapid development of the Internet has brought many conveniences to life, but most program developers or site managers regard the functionality of the site as a focus without worrying about the security of the website application system, especially as many people use the open source code web content management system (CMS) to set up the website. The security concerns of its hidden loopholes also pose great risks. All kinds of network hacking events such as APT, DDOS, XSS, SQL injection and other different types of security incidents are endless, the safety of website application system is facing a severe test, so penetration testing technology has become an important means to ensure the information security of the website.
Public organs and enterprises in the security of information systems have different means of response, such as firewalls, IPS, IDs and other security protection, or the use of external services to penetrate testing methods to verify the security of their organization system. Penetration test is a kind of method to implement vulnerability attack for user's information system under the condition of obtaining User unit authorization. At present, all the technical system and theory of penetration test are in continuous improvement and renewal, and several standard technical test system theories with high acceptance in the analysis of hacker attack behavior flow and current public service and enterprise are analyzed, using the tools provided in Kali Linux to carry out in-depth practical testing, to explain a complete set of penetration testing thinking, process, steps and results output to provide reference for network managers, this study proposed a web security vulnerability based on open source code content management system and common vulnerabilities for penetration testing analysis. Through the simulation of real attack to carry out a comprehensive security detection of the website system, and finally summed up the open source code website XOOPS Common Vulnerabilities and put forward a more perfect protection measures. In order to achieve the goal of evaluating and strengthening the security of the web application system, and improve the efficiency and ability of penetration testing.
摘要 i
ABSTRACT ii
致謝 iv
目錄 v
表目錄 vii
圖目錄 viii
壹、緒論 1
一、研究背景與動機 1
二、研究目的 6
三、論文架構及流程 8
貳、文獻探討 10
一、內容管理系統CMS-XOOPS 10
二、滲透測試 12
三、網站應用程式漏洞 17
四、OWASP TOP 10漏洞檢測方法 32
參、系統規劃與設計 39
一、研究方法 40
二、研究範圍 43
三、建置環境 44
3.3.1 攻擊端(Kali Linux) 44
3.3.2 被攻擊端(XOOPS) 45
四、系統流程與架構 51
3.4.1 網路探勘 53
3.4.2 鑑別系統服務 53
3.4.3 網路弱點研究與驗證 54
3.4.4 權限提升與跳脫 55
3.4.5 清除軌跡 55
3.4.6 滲透測試報告 57
五、測試系統功能 58
3.5.1 NMAP、Zenmap工具簡介 59
3.5.2 OWASP ZAP工具簡介 60
3.5.3 Burp Suite工具簡介 60
3.5.4 W3AF工具簡介 61
3.5.5 NESSUS工具簡介 62
3.5.6 OpenVAS工具簡介 63
肆、實驗結果 65
一、實驗結果 65
二、綜合分析與討論 134
伍、結論與未來研究方向 161
一、研究貢獻 163
二、未來研究方向 165
參考論文 167
[1]Kali Linux(2018),自由百科全書:https://zh.wikipedia.org/w/index.php?title=Kali_linux &oidid=47077991,來源:維基百科。
[2]XOOPS(2018) ,自由百科全書:https://zh.wikipedia.org/wiki/XOOPS,來源:維基百科。
[3]W3af, http://w3af.sourceforge.net/
[4]XOOPS, http://www.xoops.org.tw/
[5]HTTP Protocol, http://en.wikibooks.org/wiki/Communication_Networks/HTTP_Protocol
[6]Mass SQL Injection 2011/07, http://blog.armorize.com/2011/07/willysycom-mass-injection-ongoing.html
[7]Mass SQL Injection 2011/10, http://www.zdnet.com/blog/security/over-a-million-web-sites-affected-in-mass-sql-injection-attack/9662
[8]Nessus, http://www.nessus.org
[9]OpenVAS, http://www.openvas.org/
[10]Burp Suite, https://portswigger.net/burp
[11]Nikto, http://www.cirt.net/nikto2/
[12]OWASP, http://www.owasp.org
[13]SQL Power Injection, SQL Injection, http://www.sqlpowerinjector.com/
[14]Sqlninja, SQL Injection, http://sqlninja.sourceforge.net/
[15]Kali Linux, https://www.kali.org/
[16]NMAP, https://nmap.org/
[17]W3C, http://www.w3.org/
[18]Web Scanner, http://sourceforge.net/projects/webscanner/
[19]Zone-h, http://www.zone-h.org/
[20]XSSS, http://www.sven.de/xsss/
[21]Top 125 Network Security Tools, http://sectools.org/tag/web-scanners/
[22]Vmware, http://www.vmware.com/
[23]ISO.org. (2011). Information technology -- Security techniques-Information security risk management.
[24]Owasp.org. (2015). OWASP Secure Application Lifecycle Management - OWASP. [online] Available at:https://www.owasp.org/index.php?title=OWASP_Secure_Application_Lifecycle_Management&redirect=no.
[25]Owasp.org. (2017). Vulnerability Scanning Tools - OWASP. [online] Available
at:https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools.
[26]Owasp.org. (2017). Top 10-2017 Top 10 - OWASP. [online] Available
at:https://www.owasp.org/index.php/Top_10-2017_Top_10.
[27]Symantec.com (2016). Symantec Internet Security Threat Report 2016. [online]Available at:https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf/.
[28]张小斌、严望佳(2008),黑客分析与防范技术,清华大学出版社,24-25頁。
[29]謝依儒(2003),善用安全檢測工具建置安全的校園網路,生活科技教育月刊,第三十六卷,第七期,3頁。
[30]林宜隆、黃淙澤(2003),資訊安全管理制度風險評估手冊,行政院國家資通安全會報技術服務中心。
[31]洪光鈞(2012/11/15),滲透測試(Penetration Testing),國家資通安全會報技術服務中心。
[32]金管會法規(2018/1/12),金融機構辦理資訊安全滲透測試計畫,測試目的。
[33]行政院(2018/1/16) ,政府機關滲透測試服務委外服務案建議書徵求文件第3.0版,專案目標。
[34]許瑞宋(2017/03/11), iThome資安技術應用專刊,企業為什麼一定要做滲透測試。
[35]戴夫寇爾DEVCORE(2018),滲透測試服務是什麼[online]Available at:https://devco.re/services/penetration-test。
[36]滲透測試(2017/6/18),自由百科全書:https://zh.wikipedia.org/wiki/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95,來源:維基百科。
[37]李華峰(2018/03):Kali Linux 2網絡滲透測試實踐指南。人民郵電出版社。
[38]楊波(2016/03):Kali Linux滲透測試技術詳解。清華大學出版社。
[39]穆尼茲 (2015/8):Web滲透測試:使用Kali Linux。人民郵電出版社。
[40]黃德文(2011/04):架站可以很簡單: XOOPS 2.5網站架設與應用。松崗出版社
[41]Yuan(2017/12), iThome資安技術應用專刊,滲透測試簡介。
[42]Vega Vulnerability Scanner - Subgraph, [Online]. Available: https://subgraph.com/vega/ [Accessed June, 2016]
[43]Z. Su, G. Wassermann, “The essence of command injection attacks in web applications,” Conference Record of the 33rd ACM SIGPLAN-SIGACT Symposium on Principles of Programming Languages, 2006, pp. 372–382.
[44]Suteva, N., Zlatkovski, D., and Mileva, A. (2013). " Evaluation and testing of several free/open source web vulnerability scanners. " Proceddings of the The 10th Conference for Informatics and Information Technology (CIIT 2013), March 2013, pp.221-224.
[45]高志忠,盧建同,鍾沛原,賴溪松,李忠憲,應用網站應用程式弱點檢測平台於TANet連線單位網站安全之研究,「TANet2011臺灣網際網路研討會」,國立宜蘭大學.
[46]高志忠,盧建同,鍾沛原,劉志威,賴溪松,網站應用程式弱點檢測平台之建置,「第二十屆資訊安全會議研討會(CISC2010)」,國立交通大學.
電子全文
國圖紙本論文
推文
當script無法執行時可按︰
推文
網路書籤
當script無法執行時可按︰
網路書籤
推薦
當script無法執行時可按︰
推薦
評分
當script無法執行時可按︰
評分
引用網址
當script無法執行時可按︰
引用網址
轉寄
當script無法執行時可按︰
轉寄
top
相關論文
相關期刊
熱門點閱論文
1.
自動化Web應用程式安全檢測系統之設計與實現
2.
運用智慧型行動裝置進行行動式滲透之研究
無相關期刊
1.
無線區域網路滲透測試研究—以小型企業辦公室為例
2.
網頁滲透測試與資安攻防演練之研究
3.
滲透測試執行方法論的研究
4.
整合型滲透測試技術之研究—竊取已加密之帳號密碼登入網站安全為例
5.
一致性滲透測試程序與防護策略
6.
網站應用程式滲透測試研究 -以OWASP Top 10 (2021)為基準
7.
結合滲透測試框架之攻擊脅迫強化系統
8.
辨別網址路徑之參數以進行滲透測試
9.
自動化滲透測試框架-目錄遍歷與遠端文件包含漏洞之偵測
10.
自動化反向shell 建立以支援互動式滲透測試
11.
自動化推測後端邏輯以進行網頁滲透測試
12.
提供滲透測試功能之整合式安全評估系統
13.
透過紅隊演練以強化網路安全之研究
14.
整合 UTAUT 及 TTF 理論為基礎探討企業員工 PLM 系統使用行為及智能計算技術應用-以艾美特公司為例
15.
企業內部網路安全防護架構研究
簡易查詢
|
進階查詢
|
熱門排行
|
我的研究室