随着Internet的快速发展,web应用系统因其易用性、易于开发和开放性使其在各个领域都得到了广泛的应用,但也正是因此web应用的安全问题日益突出。大量的web应用攻击给企业和用户造成了巨大的经济损失,web应用安全问题已成为人们最关注的网络问题之一。
本文设计实现的web应用安全漏洞扫描系统能够对漏洞进行扫描检测,从而及时发现并修补漏洞,防患于未然,达到保证web应用安全的目的。因此本课题的研究成果具有较强的针对性和实用性。
web应用安全漏洞扫描系统的原理是通过模拟黑客的攻击行为实现检测功能,即向服务器发送具有特定漏洞检测特征的HTTP请求,通过对HTTP请求的响应进行分析来确定是否存在漏洞。本文首先分析当前web应用安全的严峻形势,调研国内外安全产品,总结漏洞扫描工具的优势与不足,为系统的设计与开发寻找思路;接着研究并改进了网络爬虫的关键技术,总结了SQL注入(Structured Query Language Injection)和XSS (Cross Site Script,跨站点脚本攻击)等常见漏洞的产生原因、检测方法以及防御手段,设计了漏洞危险指标评价准则,为系统的开发实现提供了理论依据;然后设计了扩展性良好的web应用安全漏洞扫描系统的基础架构,在此基础上,结合网络爬虫、漏洞检测以及安全评估技术,实现了自动检测SQL注入和XSS漏洞的扫描系统;最后通过测试验证了系统的可用性、准确性和高效性,并对下一步工作进行了总结分析。
暂无评论