Web應(yīng)用漏洞掃描器IMIScaner的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著Web技術(shù)的普及,Web漏洞檢測越來越成為研究的熱點(diǎn)。本文介紹了Web應(yīng)用系統(tǒng)的漏洞與危害,研究了Web應(yīng)用系統(tǒng)漏洞檢測的原理、實(shí)現(xiàn)技術(shù),其中重點(diǎn)研究了SQL注入和跨站點(diǎn)腳本漏洞。在此基礎(chǔ)上設(shè)計(jì)了一個(gè)基于網(wǎng)絡(luò)的Web應(yīng)用漏洞掃描器--IMIScaner,并實(shí)現(xiàn)了系統(tǒng)原型。 目前已有的一些掃描系統(tǒng)還不太完善,有些系統(tǒng)依然采用被動(dòng)的基于主機(jī)的掃描方式；有些系統(tǒng)掃描速度慢,存在死角；有些系統(tǒng)則是漏洞規(guī)則設(shè)計(jì)針對(duì)性不強(qiáng),掃描效率低下

2、。科學(xué)、高效、準(zhǔn)確地測試Web應(yīng)用的安全性十分必要,是所有Web應(yīng)用系統(tǒng)所面臨的共同難題。 基于強(qiáng)關(guān)聯(lián)的遍歷模型自動(dòng)、完整、全面地遍歷整個(gè)Web應(yīng)用,同時(shí)提取Web應(yīng)用協(xié)議數(shù)據(jù),這些協(xié)議數(shù)據(jù)能夠幫助理解整個(gè)Web應(yīng)用,有助于發(fā)現(xiàn)Web應(yīng)用的未知漏洞。根據(jù)對(duì)遍歷結(jié)果的分析發(fā)現(xiàn)漏洞和交互單元的屬性是強(qiáng)關(guān)聯(lián)的關(guān)系,這也為漏洞規(guī)則設(shè)計(jì)和攻擊參數(shù)的自動(dòng)生成提供了依據(jù)。本文將等價(jià)類的思想引入到規(guī)則庫的設(shè)計(jì)中,力求做到全面,同時(shí)為了解決漏洞庫