1. 研究目的与意义（文献综述）

随着internet的发展，web应用程序在给人们带来便利的同时，也带来了前所未有的巨大安全风险。一方面由于web应用的易操作性，使得web应用程序面向了更广泛的人群，但是大多数用户网络安全意识不强，导致对于网络上的陷阱疏于防范，容易成为被攻击对象;另一方面，由于信息化的快速发展，网络上可以进行各种信息的交互资料工具的下载等，这可以使各种攻击工具极易在网络上进行传播，并且大量的自动化工具产生，导致对攻击者要求的专业技术知识逐渐降低，恶意用户只需按照攻击软件说明就可以完成对网站的攻击。一个组织的信息系统经常面临内部和外部威胁的风险，作为网络管理人员，如果没有一定的黑客技术经验与知识，很难充分保护网络系统的安全。而渗透测试作为一种高效的web安全测试方法，它采用主动的方式来检测web应用程序的安全性问题，从中发现隐含的各种安全性漏洞，对网络的安全情况进行整体评估，并给出解决方法以及建议，正在普遍应用于web应用程序安全测试工作中。

全球的web应用漏洞和遭受黑客攻击的数量正在持续增加，大型公司数据泄露的案例也在持续上升，全球的网络安全环境急需等待加强。中国目前对网络安全人才需求量是50万，但实际从业者不足5万，人才供求比为1:10。国内高校网络安全类课程薄弱，教材陈旧、师资缺乏攻防实战经验， 同时，市场上信息安全类课程基本上是在线教学，且多偏重于运维，课程过于陈旧，难以培养安全攻防合格人才。网络安全已经受到了政府、企业和高校越来越多的关注和重视。

本次毕设主题的意义在于对web应用程序渗透测试的流程和内容进行优化设计，提出一个完整的web应用程序渗透测试方法应用案例，并验证该方法的有效性和实用性，来处理日益严重的漏洞威胁，最大限度地减小业务风险以保持安全风险在可控制的范围内。

2. 研究的基本内容与方案

一、基本内容与目标

1）分析渗透测试在国内外的研究现状及发展动态,并对相关理论和技术进行研究；

2）提出一套web应用程序渗透测试方法,对web应用程序渗透测试的流程和内容进行优化设计；

3. 研究计划与安排

1)2017/1/14—2017/2/22：确定选题，查阅文献，外文翻译和撰写开题报告；

2)2017/2/23—2017/4/30：了解常见应用程序漏洞，熟练各种渗透测试工具的使用，学习各种漏洞利用的脚 本编写，提出一个完整的web应用程序渗透测试方法；

4. 参考文献（12篇以上）

[1] 于莉莉,杜蒙杉,张平,纪玲利. web安全性测试技术综述[j]. 计算机应用研究. 2012(11)

[2] 王晓聪,张冉,黄赪东. 渗透测试技术浅析[j]. 计算机科学. 2012(s1)

[3] 王宜阳,宋苑. 浅谈渗透测试在web系统防护中的应用[j]. 信息网络安全. 2010(09)