基于爬蟲的滲透測試系統(tǒng)的研究與實現(xiàn).pdf

1、隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，Web應(yīng)用在社會各個領(lǐng)域都得到了極為廣泛的應(yīng)用，伴隨而來的針對Web應(yīng)用的攻擊則不斷攀升。當(dāng)Web應(yīng)用程序存在能夠被利用的漏洞時，黑客便可以對其實施攻擊從而實現(xiàn)獲取信息資料、病毒木馬植入、偽裝釣魚網(wǎng)站、惡意插入廣告等非法操作。普通用戶在瀏覽這些Web頁面的過程中很容易導(dǎo)致計算機中毒或遭受財產(chǎn)損失。在Web應(yīng)用程序開發(fā)過程中，如果開發(fā)人員缺乏良好的安全編程意識和編程習(xí)慣，或者在網(wǎng)站的部署過程中，網(wǎng)站管理人員的安全意識薄

2、弱，都容易導(dǎo)致Web應(yīng)用程序出現(xiàn)安全隱患，給惡意攻擊者留下可乘之機，因此對網(wǎng)站W(wǎng)eb應(yīng)用的安全檢測是十分必要的。
　　論文首先闡述了研究背景以及滲透測試系統(tǒng)的目的及深遠意義，分析了Web應(yīng)用中幾種主要的安全威脅以及針對各種漏洞的檢測手段，并針對以往爬蟲方案存在存儲代價過高問題，提出了基于Bloom過濾器的網(wǎng)頁爬蟲算法，該算法有效地解決了網(wǎng)頁爬蟲爬行過程中對系統(tǒng)內(nèi)存資源消耗過多的缺點。在此基礎(chǔ)之上設(shè)計與實現(xiàn)了一個基于爬蟲的滲透測試系

3、統(tǒng)，該系統(tǒng)檢測手段可分為自動檢測和手動檢測，能夠?qū)QL注入漏洞、XSS腳本攻擊漏洞、敏感目錄及第三方編輯器漏洞進行檢測，并能夠基于SQL注入漏洞進一步對數(shù)據(jù)庫信息進行獲取，檢測過程中會動態(tài)向測試人員提供檢測信息并在檢測結(jié)束后顯示測試結(jié)果。該系統(tǒng)通過模擬黑客的攻擊行為對網(wǎng)站W(wǎng)eb應(yīng)用進行滲透測試，發(fā)現(xiàn)網(wǎng)站運行過程中存在的漏洞，為網(wǎng)站管理人員或滲透測試工作人員提供可靠、有效的安全弱點信息。系統(tǒng)測試結(jié)果表明，系統(tǒng)運行良好，可以有效地檢測We