本科毕业设计（论文）基于攻击者杀链的研究与实践Basedontheresearchandpracticeofattackerkillingchain院（系）计算机学院专业网络工程班级三班学号16210220627学生姓名汤震指导教师罗海波提交日期2020年4月23日毕业设计（论文）原创性声明本人郑重声明：所呈交的毕业设计（论文）是本人在指导老师的指导下独立进行的设计（研究）工作及取得的成果论文中引用他人的文献、数据、图件、资料均已明确标注出论文中的结论和结果为本人独立完成不包含他人已经发表或撰写的作品及成果。对本文的研究作出贡献的个人和集体均已在论文中作了明确的说明。本人完全意识到本声明的法律结果由本人承担。毕业论文作者（签字）：签字日期：年月日成绩评定成绩项论文成绩（百分制）折合比例实得成绩（折合分）指导教师成绩30%评阅教师成绩20%答辩成绩50%总评成绩注：毕业设计（论文）成绩按百分制评定。答辩成绩不及格的（评分低于60分的）则该毕业设计（论文）总评成绩为答辩成绩。摘要在互联网的世界中会受到木马勒索病毒的网络攻击给我们带来的安全威胁是巨大的。所以为了减少网络威胁采用渗透测试能够有效的评估网络系统的安全情况。实验搭建了基于Web应用的漏洞环境通过攻击者杀链方法对三种Web漏洞进行了利用和分析分别是SQL注入XSS跨站脚本文件上传攻击。通过渗透测试对目标系统进行漏洞风险评估并提供修复措施是保障目标系统稳定运行的最佳选择对于渗透工作者来说是透明的。攻击者“杀链”方案正是一种新型的渗透测试流程。关键词：渗透测试攻击者杀链漏洞AbstractIntheworldoftheInternetwillbeTrojanransomwarenetworkattackstooursecuritythreatishuge.Thereforeinordertoreducenetworkthreatspenetrationtestingcaneffectivelyassessthesecurityofnetworksystems.InthispaperavulnerabilityenvironmentbasedonWebapplicationissetupandthreekindsofWebvulnerabilitiesareutilizedandanalyzedthroughtheattacker'schainkillingmethodwhichareSQLinjectionXSScross-sitescriptandfileuploadattack.Itisthebestchoicetoevaluatethevulnerabilityriskofthetargetsystemandprovidetherepairmeasuresthroughthepenetrationtesttoensurethestableoperationofthetargetsystem.Theattacker"killchain"schemeisanewpenetrationtestingprocess.Keywords:Penetrationtestattackerkillchainvulnerability目录第一章绪论81.1课题研究背景81.2研究的目的及意义81.3国内外研究现状91.4未来的发展趋势10第二章渗透测试的“杀链”方案112.1渗透测试定义112.2渗透测试分类112.3渗透测试流程112.3.1确定目标112.3.2被动侦察112.3.3主动侦查和漏洞扫描122.3.4漏洞利用122.3.5后期利用132.4本章小结13第三章渗透测试“杀链”方案的环境搭建143.1测试环境介绍143.2测试靶机143.3攻击机153.3.1kaliLinux153.3.2Windows10本机153.4软件工具介绍153.4.1工具Nmap153.4.2工具Hatchet163.5本章小结16第四章基于Web应用的侦察与利用174.1对网站进行侦察174.1.1基于Web服务的扩展侦查原则174.1.2