基于漏洞分級和Fuzz技術(shù)的Web漏洞檢測系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、隨著Web應(yīng)用技術(shù)的迅猛發(fā)展，Web應(yīng)用已經(jīng)涉及到人們生活的各個領(lǐng)域，Web應(yīng)用系統(tǒng)漏洞檢測技術(shù)日益成為國內(nèi)外學(xué)習(xí)和研究的熱點與重點。但是，Web應(yīng)用系統(tǒng)漏洞自動化檢測技術(shù)還處于起步階段，Web應(yīng)用系統(tǒng)的安全防護問題還未得到足夠的重視。針對SQL注入、跨站點腳本等常見Web應(yīng)用系統(tǒng)漏洞進行的攻擊都是從正常的WWW端口進行，可能會造成不可預(yù)想的危害且很難被人察覺到。因此，對Web應(yīng)用系統(tǒng)漏洞自動化檢測技術(shù)進行全面的研究，以及相關(guān)檢測系統(tǒng)的

2、實現(xiàn)對于Web應(yīng)用系統(tǒng)漏洞的防范及檢測具有極其重要的理論意義和實用價值。
　　 本論文在深入分析總結(jié)常見Web應(yīng)用系統(tǒng)漏洞的攻擊方式、攻擊特點、攻擊參數(shù)及相應(yīng)防御機制的基礎(chǔ)上，設(shè)計并實現(xiàn)了一個基于網(wǎng)絡(luò)的、基于漏洞分級及Fuzz技術(shù)的Web漏洞檢測系統(tǒng)。系統(tǒng)中依據(jù)防御度高低對Web漏洞進行等級劃分，并將漏洞分級作為模糊測試用例等價類劃分的依據(jù)，將各漏洞攻擊參數(shù)進行優(yōu)化選擇后，以模擬黑客攻擊的方式主動地、有針對性地進行漏洞檢測。

3、r>　　 基于漏洞分級和Fuzz技術(shù)的漏洞檢測模型能能夠完整、自動的遍歷整個目標(biāo)Web應(yīng)用程序，同時提取頁面關(guān)鍵信息并根據(jù)各類型漏洞結(jié)構(gòu)特征對頁面集合進行分類，較好的提高了運行效率。另外，各漏洞檢測引擎以插件的形式加載到系統(tǒng)主程序中，使得系統(tǒng)便于擴展和維護。并且，本系統(tǒng)采用基于網(wǎng)絡(luò)的主動探測的方式，從黑客攻擊的角度出發(fā)進行漏洞檢測，使檢測結(jié)果更具現(xiàn)實意義。在漏洞分級的基礎(chǔ)上對漏洞檢測參數(shù)進行了等價類劃分，保證了測試完備性，消除了測試冗