基于網(wǎng)絡爬蟲的WEB漏洞掃描系統(tǒng)的開發(fā).pdf

1、隨著WEB應用的迅速推廣和普及，WEB應用程序的安全問題已經(jīng)受到越來越多的人們的關注。據(jù)Gartner調查，75％以上的互聯(lián)網(wǎng)攻擊和網(wǎng)絡安全事故，主要是利用WEB應用程序漏洞而發(fā)生的。根據(jù)2013年OWASP發(fā)布的WEB應用十大關鍵風險中，SQL注入和XSS漏洞依然高居首位。如何高效準確的掃描這兩種高危漏洞，目前是人們研究的熱點。
　　針對WEB存在SQL注入和XSS漏洞，本文開發(fā)了WEB漏洞掃描系統(tǒng)，論文主要工作包括：
　

2、　(1)基于WER應用漏洞掃描的原理和方法，分析了當前主流的同類系統(tǒng)或工具存在的若干問題。
　　(2)研究了WEB應用漏洞中的XSS及SQL注入漏洞，即漏洞產(chǎn)生原因和危害及漏洞掃描方法．
　　(3)設計了展性能良好的WEB應用漏洞掃描的系統(tǒng)架構及功能。
　　(4)基于網(wǎng)絡爬蟲技術，通過開源項目HttpClient來采集WEB頁面，應用正則表達式來提取匹配WEB應用程序中的URL，采用Berkeley DB數(shù)據(jù)庫技術，很

3、好的解決了傳統(tǒng)URL去重方法中存在的問題，并有效獲取了漏洞掃描所需的相關信息。
　　(5)針對XSS及SQL注入漏洞，設計與實現(xiàn)了基于網(wǎng)絡爬蟲的WEB漏洞掃描系統(tǒng)。
　　通過設計本文設計的測試方案，完成了功能測試、性能測試以及掃描準確性分析測試，測試結果表明，本系統(tǒng)對于XSS和SQL注入漏洞的識別與同類其它工其或系統(tǒng)對這兩種漏洞的識別相比，本文開發(fā)的系統(tǒng)較好的解決了XSS及SQL注入漏洞檢測的有效性和準確性。因此本文開發(fā)的系