面向Web應(yīng)用的安全評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)及網(wǎng)絡(luò)通信技術(shù)的迅速發(fā)展，如今的互聯(lián)網(wǎng)已經(jīng)成為觸及全球任何角落的開(kāi)放網(wǎng)絡(luò)，給人們帶來(lái)了實(shí)時(shí)、方便、快捷及低成本的服務(wù)。簡(jiǎn)單易用的Web應(yīng)用程序的流行，使得現(xiàn)在的網(wǎng)絡(luò)世界幾乎囊括生活的方方面面。與此同時(shí)，政府、金融、企業(yè)將眾多的應(yīng)用部署在Web上，使得應(yīng)用安全問(wèn)題不斷突出。加之現(xiàn)在的掛馬事件、釣魚(yú)事件、網(wǎng)絡(luò)入侵事件的頻頻曝光，造成了很大的經(jīng)濟(jì)損失。在這樣的背景下，如何檢測(cè)Web網(wǎng)絡(luò)應(yīng)用軟件的安全漏洞，變得非常緊迫，已成為當(dāng)前權(quán)威

2、軟件安全測(cè)評(píng)機(jī)構(gòu)的研究熱點(diǎn)問(wèn)題。
　　本文以針對(duì)Web應(yīng)用程序的安全事件為研究對(duì)象，分析Web應(yīng)用的各種漏洞利用原理，主要進(jìn)行如下幾方面的工作：
　　1)從軟件工程的角度，對(duì)本課題研發(fā)的Web安全評(píng)估系統(tǒng)軟件從需求分析、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)以及編碼實(shí)現(xiàn)的整個(gè)過(guò)程進(jìn)行分析與論述。
　　2)詳細(xì)剖析了Web應(yīng)用軟件的各種漏洞，主要包括其產(chǎn)生原因、危害、避免方式、檢測(cè)方法等，針對(duì)每種不同漏洞攻擊的特點(diǎn)制定出滲透檢測(cè)策略。

3、>　　3)針對(duì)不同漏洞的特性，改進(jìn)了網(wǎng)絡(luò)爬蟲(chóng)技術(shù)，并利用該技術(shù)收集Web應(yīng)用程序中可能存在漏洞的可疑點(diǎn)的信息。
　　4)利用黑盒滲透測(cè)試技術(shù)，并結(jié)合各種漏洞的檢測(cè)技術(shù)，編寫(xiě)代碼構(gòu)造測(cè)試報(bào)文，對(duì)可疑站點(diǎn)進(jìn)行注入測(cè)試，并給出評(píng)測(cè)結(jié)果。
　　5)實(shí)現(xiàn)了一個(gè)針對(duì)Web應(yīng)用程序中的14種主流漏洞的自動(dòng)探測(cè)工具模塊。
　　6)對(duì)Web評(píng)測(cè)工具進(jìn)行了整體測(cè)試，驗(yàn)證了本系統(tǒng)軟件測(cè)試結(jié)果的準(zhǔn)確性。
　　總之，本系統(tǒng)首先通過(guò)爬蟲(chóng)技術(shù)