1. 研究目的与意义（文献综述）

随着网络的普及和快速发展，安全问题始终是在这个发展过程中必须面对的一个关键问题。由于现在的网络环境越来越开放，网络攻击的工具变得更加容易获得，更加的自动化，也更加的智能化，对信息安全的保障提出了巨大的挑战。因此，通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全有助于更直接地找到网络中的脆弱点，能够为信息安全工作的展开提供很好的防护建议。渗透测试是近几年发展起来的一种网络安全防范的新技术，对于网络信息安全具有重大的实际应用价值,但要对目标网络进行有效渗透测试并不容易。在国外，有许多针对渗透测试进行的理论研究以及一些国外企业研发出来的渗透测试工具，但都存在一些不足。国际上也成立了一些安全组织，如开放式Web应用程序安全项目OWASP、Web应用程序安全性协会WASC等，它们在发布相关安全研究文档的同时也会推出一些实际的安全项目。此外，在国际上每年都会召幵一些安全方面的会议，在这些会议上，通常都会有关于黑客技术的展示，为来自世界各地的黑客提供了一个相互交流的平台。近年来，渗透测试在国内也发展迅速，但相比于国际上发达国家，其发展程度还是要相对滞后。首先，在理论研究方面，国内的渗透测试并未形成有具有较高权威性的标准、手册和技术指南，国内的理论研究成果大多均来源于高校或研究院的网络安全学者的研究工作，绝大多数的渗透测试服务其实都不外乎就是漏洞扫描而已，并不能算是真正意义上的渗透测试服务，实质上根本无法满足渗透测试的需求。总之，现在国内外对渗透测试所开展的研究都尚且处于起步阶段，处于少数网络安全专家独立地利用自己的经验和能力解决问题的阶段，远没有实现标准化，渗透测试理论和技术还处于不断的变化发展之中。国内外能够直接应用于渗透测试的工具还是凤毛麟角，很多的渗透测试还是依靠个别的安全专家通过组合各自熟悉的、分散的安全工具来实施测试，这就导致不同的渗透测试服务商或测试人员实施渗透测试的工作流程、测试的漏洞范围和结果往往存在着较大的差异。本文旨在通过研究内网渗透的主要方法，工作流程，渗透技术及工具等内容来实现一个用于内网渗透测试的平台，使其能够在网络安全风险评估工作中发挥积极作用，有效地协助测试者完成对目标网络的渗透测试工作。

2. 研究的基本内容与方案

研究的基本内容：内网渗透的方法，内网渗透的工作流程

目标：掌握几种内网渗透的技术，设计并实现一个渗透测试的平台

拟采用的技术方案及措施：

3. 研究计划与安排

2019/1/19—2019/2/28：确定选题，查阅文献，阅读相关文献及书籍等资料，大致了解渗透测试的基本知识；

2019/3/1—2019/3/10：熟悉渗透测试所使用到的各种工具及其用途和使用方法；

2019/3/11—2019/4/15：学习相关文献及书籍等的知识，并在学习过程中对学到的知识加以实践，掌握几种渗透测试方法；

4. 参考文献（12篇以上）

1.秦英.基于行为的跨站脚本攻击检测技术研究[d].[硕士学位论文].西安:西安电子科技大学,2010.

2.王夏莉,张玉清.一种基于行为的xss客户端防范方法[」].中国科学院研究生院学报.2011.vol.29.no.5:668-674

3滲透测试-百度百科[eb/ol].