面向Web服務(wù)安全的漏洞掃描器的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著Web應(yīng)用被越來(lái)越廣泛的應(yīng)用，對(duì)其安全性的關(guān)注也逐漸上升到越來(lái)越高的層次，如何保障Web應(yīng)用的安全性已經(jīng)是一個(gè)重要的研究課題。目前存在許多防護(hù)系統(tǒng)用于防御Web應(yīng)用攻擊，在一定程度上增強(qiáng)了Web應(yīng)用的安全性，但是會(huì)帶來(lái)不少的性能損耗和維護(hù)代價(jià)。因此及早發(fā)現(xiàn)漏洞并將其消除以增強(qiáng)Web應(yīng)用自身的安全性能夠防患于未然，極大減少后續(xù)軟件維護(hù)的開(kāi)銷(xiāo)，提升軟件產(chǎn)品的信譽(yù)。而Web應(yīng)用漏洞掃描軟件作為漏洞檢測(cè)過(guò)程中一類(lèi)重要的工具，能有效地輔助檢測(cè)

2、者的工作，減少檢測(cè)者的工作量，因此很有研究的必要。
　　 本文研究了Web應(yīng)用漏洞產(chǎn)生的原因以及對(duì)應(yīng)的檢測(cè)方法，對(duì)Web應(yīng)用漏洞掃描的兩類(lèi)關(guān)鍵技術(shù)—Web漏洞掃描信息獲取和Web應(yīng)用漏洞檢測(cè)機(jī)制進(jìn)行了深入研究，針對(duì)Web應(yīng)用的特點(diǎn)設(shè)計(jì)了一個(gè)Web應(yīng)用漏洞掃描軟件框架，并實(shí)現(xiàn)了其中的相關(guān)核心檢測(cè)模塊。針對(duì)Web漏洞掃描信息獲取的目標(biāo)，深入研究了基于正則表達(dá)式的網(wǎng)頁(yè)內(nèi)容提取技術(shù)、交互式表單內(nèi)容的抓取技術(shù)、用于掃描信息的DOM文檔技術(shù)

3、和HTTP通信協(xié)議技術(shù)。利用寬度優(yōu)先搜索策略結(jié)合實(shí)用的URL傳輸庫(kù)解決了對(duì)目標(biāo)WEB應(yīng)用掃描信息獲取的問(wèn)題。設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)具有一定語(yǔ)義識(shí)別能力的自動(dòng)表單填充模塊，解決了隱藏在表單后面的掃描信息獲取問(wèn)題，可以達(dá)到對(duì)網(wǎng)頁(yè)漏洞掃描相關(guān)元素的完整提取。在獲取了相關(guān)漏洞掃描信息的基礎(chǔ)上，進(jìn)一步對(duì)Web應(yīng)用漏洞檢測(cè)技術(shù)進(jìn)行了深入研究。針對(duì)Web應(yīng)用漏洞不斷更新、檢測(cè)技術(shù)不斷變化的特點(diǎn)，利用動(dòng)態(tài)鏈接庫(kù)技術(shù)，設(shè)計(jì)實(shí)現(xiàn)了一種基于規(guī)則擴(kuò)展和插件擴(kuò)展的漏洞

4、檢測(cè)機(jī)制，實(shí)現(xiàn)了可以自定義新的掃描插件，同時(shí)，深入研究了漏洞分析器的工作原理和過(guò)程，針對(duì)Web安全中主流的SQL注入漏洞、SQL盲注漏洞、XSS攻擊漏洞以及備份文件檢測(cè)等漏洞，設(shè)計(jì)實(shí)現(xiàn)了用于相關(guān)的漏洞分析與檢測(cè)的插件，在此基礎(chǔ)上實(shí)現(xiàn)了一個(gè)自動(dòng)化的Web安全漏洞分析器。針對(duì)Web應(yīng)用中需要手動(dòng)探索的部分以及自動(dòng)化掃描軟件的結(jié)果的確認(rèn)，本文研究并設(shè)計(jì)了編碼/解碼工具、HTTP請(qǐng)求發(fā)送與解析等工具，以提高檢測(cè)的準(zhǔn)確性和效率。針對(duì)相關(guān)的網(wǎng)站進(jìn)行