基于模擬攻擊的Web應(yīng)用程序漏洞檢測系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、隨著Web應(yīng)用的普及，Web應(yīng)用程序漏洞以越來越快的速度爆發(fā)出來，針對Web應(yīng)用程序漏洞檢測技術(shù)的研究正逐漸成為國內(nèi)外研究的重點和熱點。本文介紹了已有的Web應(yīng)用程序漏洞及其帶來的危害，研究了針對各種漏洞檢測的原理和具體實現(xiàn)，重點深入研究了遠程文件包含漏洞、文件上傳漏洞和路徑遍歷漏洞，在此基礎(chǔ)上設(shè)計并開發(fā)了基于模擬攻擊的Web應(yīng)用程序漏洞檢測系統(tǒng)原型。
　　 基于對Web應(yīng)用程序漏洞檢測技術(shù)及工具發(fā)展歷史的研究，筆者發(fā)現(xiàn)已有的一

2、些漏洞檢測系統(tǒng)不夠完善，有的系統(tǒng)仍然采用基于主機的被動的檢測方式，有些系統(tǒng)針對漏洞的檢測結(jié)果不夠完整，更多的由于設(shè)計的針對性不強，導(dǎo)致檢測效率極其低下。怎樣科學(xué)地對漏洞檢測系統(tǒng)進行規(guī)劃，怎樣準確地爬行整個Web應(yīng)用程序以及怎樣高效地進行漏洞檢測，成了所有Web應(yīng)用程序漏洞檢測系統(tǒng)開發(fā)者共同面臨的難題。
　　 本文提出的模擬攻擊的檢測模式，模擬惡意攻擊者，向Web應(yīng)用程序發(fā)動攻擊，通過Web應(yīng)用程序的返回信息來判斷漏洞是否存在，具

3、有很強的實用性。本文設(shè)計的漏洞檢測系統(tǒng)能夠自動全面地對整個Web應(yīng)用系統(tǒng)進行爬行，提取頁面詳細的結(jié)構(gòu)信息，并使用XML保存；將各漏洞檢測引擎模塊化，插件化，便于不同漏洞檢測引擎的整合以及新的漏洞檢測引擎的擴充。本文提出了漏洞分級的思想，根據(jù)不同的漏洞等級進行不同的檢測，具有一定的新意。本文實現(xiàn)了對遠程文件包含漏洞、文件上傳漏洞和路徑遍歷漏洞的檢測引擎，開發(fā)了基于PHP語言的目標系統(tǒng)，對檢測系統(tǒng)原型進行了全面的功能和性能測試，證明了系統(tǒng)設(shè)