Web應(yīng)用漏洞掃描器的設(shè)計與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,Web應(yīng)用系統(tǒng)獲得了爆發(fā)似的增長?？梢哉f互聯(lián)網(wǎng)已經(jīng)成為人們的一種不可或缺的生活方式。然而Web安全問題也隨之日益突出,并且Web安全的漏洞主要集中在Web應(yīng)用層上。根據(jù)Garter的研究結(jié)果顯示,在已經(jīng)發(fā)現(xiàn)的信息安全漏洞中,75％的漏洞都是針對Web應(yīng)用層而不是網(wǎng)絡(luò)層。目前的Web應(yīng)用漏洞掃描器大部分基于C/S架構(gòu),部署不易,使用困難,對新漏洞沒有很好的融入機制,商業(yè)軟件價格不菲,這對廣大中小公司有著不小的挑戰(zhàn)

2、。
　　針對上述問題,本文分析與研究了Web應(yīng)用漏洞掃描器及其關(guān)鍵技術(shù),設(shè)計并實現(xiàn)了一個可用性高,可擴展性高,性能良好的Web應(yīng)用漏洞掃描器。它在應(yīng)用程序發(fā)布之前就能檢測出Web應(yīng)用的未知漏洞,評測Web應(yīng)用的安全狀況,從而保證Web安全。本文主要工作如下:
　　1.分析各種不同的Web應(yīng)用程序漏洞的特性以及Web應(yīng)用漏洞的掃描技術(shù)。尤其詳細剖析了漏洞出現(xiàn)次數(shù)最多的SQL注入漏洞,XSS漏洞,信息泄漏漏洞,包括產(chǎn)生原因,攻擊

3、方式,檢測方法和防御方法等等。
　　2.研究網(wǎng)絡(luò)爬蟲技術(shù),設(shè)計了一種聚焦網(wǎng)絡(luò)爬蟲,設(shè)計頁面分析算法,使得它它不僅能夠抓取網(wǎng)頁,還能對網(wǎng)頁進行解析。運用正則表達式的方法,提取出網(wǎng)站的所有的可輸入域,其中還要對網(wǎng)址進行URL標準格式化,URL過濾,URL參數(shù)變換,增強了系統(tǒng)的性能。
　　3.提取出各個漏洞掃描模塊的共性,通過類繼承的方式,設(shè)計并實現(xiàn)了一種擴展機制,使得層不出窮的新漏洞掃描模塊可以動態(tài)的加載到本掃描器中去,增強了系

4、統(tǒng)的可擴展性。
　　4.設(shè)計實現(xiàn)了一款基于B/S架構(gòu)的Web應(yīng)用漏洞掃描器,實現(xiàn)了對SQL注入漏洞,XSS漏洞和目錄遍歷漏洞的掃描功能。并且它能夠在遠程訪問,增強了系統(tǒng)的可用性。最后,漏洞掃描器以公開的網(wǎng)站作為基準測試樣本,驗證了本漏洞掃描器的實現(xiàn)達到了預(yù)期的功能和目標。
　　最終,本文采用聚焦網(wǎng)絡(luò)爬蟲技術(shù),自動化黑盒測試技術(shù),插件機制,設(shè)計并實現(xiàn)了一款基于B/S架構(gòu)的Web應(yīng)用漏洞掃描器,達到了課題的研究目標。本論文對于同