面向Web服務(wù)安全的漏洞掃描器的設(shè)計與實現(xiàn).pdf

1、隨著Web應(yīng)用被越來越廣泛的應(yīng)用，對其安全性的關(guān)注也逐漸上升到越來越高的層次，如何保障Web應(yīng)用的安全性已經(jīng)是一個重要的研究課題。目前存在許多防護系統(tǒng)用于防御Web應(yīng)用攻擊，在一定程度上增強了Web應(yīng)用的安全性，但是會帶來不少的性能損耗和維護代價。因此及早發(fā)現(xiàn)漏洞并將其消除以增強Web應(yīng)用自身的安全性能夠防患于未然，極大減少后續(xù)軟件維護的開銷，提升軟件產(chǎn)品的信譽。而Web應(yīng)用漏洞掃描軟件作為漏洞檢測過程中一類重要的工具，能有效地輔助檢測

2、者的工作，減少檢測者的工作量，因此很有研究的必要。
　　 本文研究了Web應(yīng)用漏洞產(chǎn)生的原因以及對應(yīng)的檢測方法，對Web應(yīng)用漏洞掃描的兩類關(guān)鍵技術(shù)—Web漏洞掃描信息獲取和Web應(yīng)用漏洞檢測機制進(jìn)行了深入研究，針對Web應(yīng)用的特點設(shè)計了一個Web應(yīng)用漏洞掃描軟件框架，并實現(xiàn)了其中的相關(guān)核心檢測模塊。針對Web漏洞掃描信息獲取的目標(biāo)，深入研究了基于正則表達(dá)式的網(wǎng)頁內(nèi)容提取技術(shù)、交互式表單內(nèi)容的抓取技術(shù)、用于掃描信息的DOM文檔技術(shù)

3、和HTTP通信協(xié)議技術(shù)。利用寬度優(yōu)先搜索策略結(jié)合實用的URL傳輸庫解決了對目標(biāo)WEB應(yīng)用掃描信息獲取的問題。設(shè)計并實現(xiàn)了一個具有一定語義識別能力的自動表單填充模塊，解決了隱藏在表單后面的掃描信息獲取問題，可以達(dá)到對網(wǎng)頁漏洞掃描相關(guān)元素的完整提取。在獲取了相關(guān)漏洞掃描信息的基礎(chǔ)上，進(jìn)一步對Web應(yīng)用漏洞檢測技術(shù)進(jìn)行了深入研究。針對Web應(yīng)用漏洞不斷更新、檢測技術(shù)不斷變化的特點，利用動態(tài)鏈接庫技術(shù)，設(shè)計實現(xiàn)了一種基于規(guī)則擴展和插件擴展的漏洞

4、檢測機制，實現(xiàn)了可以自定義新的掃描插件，同時，深入研究了漏洞分析器的工作原理和過程，針對Web安全中主流的SQL注入漏洞、SQL盲注漏洞、XSS攻擊漏洞以及備份文件檢測等漏洞，設(shè)計實現(xiàn)了用于相關(guān)的漏洞分析與檢測的插件，在此基礎(chǔ)上實現(xiàn)了一個自動化的Web安全漏洞分析器。針對Web應(yīng)用中需要手動探索的部分以及自動化掃描軟件的結(jié)果的確認(rèn)，本文研究并設(shè)計了編碼/解碼工具、HTTP請求發(fā)送與解析等工具，以提高檢測的準(zhǔn)確性和效率。針對相關(guān)的網(wǎng)站進(jìn)行