Web應用安全滲透測試工具的設計與實現.pdf

1、隨著網絡技術的飛速發(fā)展,Web應用已經成為人們生活中不可或缺的部分,然而,承載著豐富功能和用途的Web應用程序也逐漸成為黑客和惡意用戶等攻擊者的主要攻擊目標。因此,如何確保Web應用程序的安全已經成為政府、企業(yè),甚至是銀行等金融行業(yè)所面臨的主要挑戰(zhàn)。為了能夠在惡意用戶攻擊Web應用程序之前就將漏洞扼殺在搖籃里,應該進行Web應用安全滲透測試以提高Web應用的安全性。
　　本文對Web應用常見漏洞進行了分析,研究了Web應用中常見漏

2、洞的形成原因以及相應的防御方法,例如注入漏洞、XSS漏洞,錯誤的認證和會話管理漏洞、不正確的對象引用、偽造跨站請求和安全性誤配置等。設計并實現了基于網絡爬蟲的Web應用安全滲透測試工具,包括:(1)網絡爬蟲模塊。網絡爬蟲采用廣度優(yōu)先的爬取策略,在多線程爬取的過程中,通過網頁解析、URL格式化和過濾,獲得目標網站的所有URL。(2)安全滲透注入模塊。詳細分析了滲透注入模塊的原理,分析了URL的請求中GET類型的注入點和注入參數,以及POS

3、T類型的注入點和注入參數,采用自動化的注入機制將構造的惡意URL發(fā)送給服務器。(3)漏洞分析模塊。給出了漏洞判定規(guī)則表,并將Web服務器端返回的響應與漏洞規(guī)則表中的預期輸出對比,從而確定Web應用存在的漏洞,并以html格式將漏洞報表展示出來。
　　該工具具有一下三個優(yōu)點:檢測效率良好,能夠比較全面的發(fā)現Web應用存在的漏洞;檢測準確性較高,而且能夠給出詳細的漏洞檢測報告;擴展性良好,可以方便的將以后新發(fā)現的漏洞掃描插件添加進來,