基于網(wǎng)絡(luò)爬蟲的WEB漏洞掃描系統(tǒng)的開發(fā).pdf

1、隨著WEB應(yīng)用的迅速推廣和普及，WEB應(yīng)用程序的安全問題已經(jīng)受到越來越多的人們的關(guān)注。據(jù)Gartner調(diào)查，75％以上的互聯(lián)網(wǎng)攻擊和網(wǎng)絡(luò)安全事故，主要是利用WEB應(yīng)用程序漏洞而發(fā)生的。根據(jù)2013年OWASP發(fā)布的WEB應(yīng)用十大關(guān)鍵風(fēng)險(xiǎn)中，SQL注入和XSS漏洞依然高居首位。如何高效準(zhǔn)確的掃描這兩種高危漏洞，目前是人們研究的熱點(diǎn)。
　　針對WEB存在SQL注入和XSS漏洞，本文開發(fā)了WEB漏洞掃描系統(tǒng)，論文主要工作包括：
　

2、　(1)基于WER應(yīng)用漏洞掃描的原理和方法，分析了當(dāng)前主流的同類系統(tǒng)或工具存在的若干問題。
　　(2)研究了WEB應(yīng)用漏洞中的XSS及SQL注入漏洞，即漏洞產(chǎn)生原因和危害及漏洞掃描方法．
　　(3)設(shè)計(jì)了展性能良好的WEB應(yīng)用漏洞掃描的系統(tǒng)架構(gòu)及功能。
　　(4)基于網(wǎng)絡(luò)爬蟲技術(shù)，通過開源項(xiàng)目HttpClient來采集WEB頁面，應(yīng)用正則表達(dá)式來提取匹配WEB應(yīng)用程序中的URL，采用Berkeley DB數(shù)據(jù)庫技術(shù)，很

3、好的解決了傳統(tǒng)URL去重方法中存在的問題，并有效獲取了漏洞掃描所需的相關(guān)信息。
　　(5)針對XSS及SQL注入漏洞，設(shè)計(jì)與實(shí)現(xiàn)了基于網(wǎng)絡(luò)爬蟲的WEB漏洞掃描系統(tǒng)。
　　通過設(shè)計(jì)本文設(shè)計(jì)的測試方案，完成了功能測試、性能測試以及掃描準(zhǔn)確性分析測試，測試結(jié)果表明，本系統(tǒng)對于XSS和SQL注入漏洞的識別與同類其它工其或系統(tǒng)對這兩種漏洞的識別相比，本文開發(fā)的系統(tǒng)較好的解決了XSS及SQL注入漏洞檢測的有效性和準(zhǔn)確性。因此本文開發(fā)的系