Web-应用的安全探测技术原理及最佳实践

安 全 探 测 指 南（ V1 。 1 ）KYUTIE二〇一四二〇一四年十月” ＊ 十二十六二十六 H 二十六 F 十二十六十二十七 T 文档信息文档名称安全探测指南电子文档安全探测指南/Microsoft WORD 2025文件状态□ 草 稿 ■ 正式发布 □ 正在修改编 写 人日 期2025 年 12 月 20 日校 对 人日 期年 月 日审 核 人日 期年 月 日批 准 人日 期年 月 日变更记录变更序号变更原因变更页码变更前版本号变更后版本号更改人批准人生效日期备 注目录一、概述61。 编写目的62。 适用范围63.术语和缩略语64。 参考文献65。 阅读说明71） 阅读指导72)各部门需重点关注内容7二、指南综述7三、角色职责8四、安全探测总体系统架构81.安全运营标准流程82.SANS 的五步法划分网络攻击93.OWASP 标准104.自动化的安全探测系统架构121） Nessus 的分支 OpenVAS132） W3AF 基于攻击的 WEB 安全审计工具143)渗透测试的顶级组合 Metasploit 和 Nexpose14五、Web 安全探测指南141.Web 安全探测工具选择142。 Grandel-scan151） 启动 Grendel Scan 扫描程序162)进行扫描173） 扫描结果导出194)查看扫描报告203.Owasp—ZAP211） OWASP—ZAP 程序启动212） 客户端的浏览器设置223） OWASP—ZAP 系统配置234)扫描策略设置265） OWASP-ZAP 程序扫描参数设置276)主动扫描287)生成报告、308)扫描报告查看314。 W3af321） W3AF 启动（gui）322)安全审计扫描333)采纳 gui 方式开始扫描354） 报告的导出39六、漏洞修复401。 Web 安全实现步骤402.Web 安全漏洞修复参考40七、附录41一、概述1. 编写目的本指南的目的是描述所有公网商务项目Web 应用的安全探测技术原理及操作步骤。2. 适用范围适用于组织内全部公网商务项目或对Web应用安全要求比较高的商务项目。3. 术语和缩略语本文中使用的名词术语和缩略语见下表。表 1 名词和缩略语序号术语/缩略语说明备注1SANSSysAdmin, Audit, Network， Security2OWASPOpen Web Application Security Project3OpenVASOpen Vulnerability Assessment System4WAFWeb Application Attack and Audit Framework4. 参考文献表 2 参考文献参考站点站点名称版本号发布日期作者1.http ： //sectools 。 org 2.http ： //www 。 owasp 。 org 3.http://www 。 sans.org 4.http:// cve.mitre 。 org 5.http:// www.backtrack—...