收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

Web应用漏洞扫描器的设计与实现

刘明明  
【摘要】:随着互联网技术的不断发展,Web应用系统获得了爆发似的增长。可以说互联网已经成为人们的一种不可或缺的生活方式。然而Web安全问题也随之日益突出,并且Web安全的漏洞主要集中在Web应用层上。根据Garter的研究结果显示,在已经发现的信息安全漏洞中,75%的漏洞都是针对Web应用层而不是网络层。目前的Web应用漏洞扫描器大部分基于C/S架构,部署不易,使用困难,对新漏洞没有很好的融入机制,商业软件价格不菲,这对广大中小公司有着不小的挑战。针对上述问题,本文分析与研究了Web应用漏洞扫描器及其关键技术,设计并实现了一个可用性高,可扩展性高,性能良好的Web应用漏洞扫描器。它在应用程序发布之前就能检测出Web应用的未知漏洞,评测Web应用的安全状况,从而保证Web安全。本文主要工作如下:1.分析各种不同的Web应用程序漏洞的特性以及Web应用漏洞的扫描技术。尤其详细剖析了漏洞出现次数最多的SQL注入漏洞,XSS漏洞,信息泄漏漏洞,包括产生原因,攻击方式,检测方法和防御方法等等。2.研究网络爬虫技术,设计了一种聚焦网络爬虫,设计页面分析算法,使得它它不仅能够抓取网页,还能对网页进行解析。运用正则表达式的方法,提取出网站的所有的可输入域,其中还要对网址进行URL标准格式化,URL过滤,URL参数变换,增强了系统的性能。3.提取出各个漏洞扫描模块的共性,通过类继承的方式,设计并实现了一种扩展机制,使得层不出穷的新漏洞扫描模块可以动态的加载到本扫描器中去,增强了系统的可扩展性。4设计实现了一款基于B/S架构的Web应用漏洞扫描器,实现了对SQL注入漏洞,XSS漏洞和目录遍历漏洞的扫描功能。并且它能够在远程访问,增强了系统的可用性。最后,漏洞扫描器以公开的网站作为基准测试样本,验证了本漏洞扫描器的实现达到了预期的功能和目标。最终,本文采用聚焦网络爬虫技术,自动化黑盒测试技术,插件机制,设计并实现了一款基于B/S架构的Web应用漏洞扫描器,达到了课题的研究目标。本论文对于同类系统的实现具有参考价值。


知网文化
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978