Web應用漏洞掃描器IMIScaner的設計與實現(xiàn).pdf

1、隨著Web技術的普及,Web漏洞檢測越來越成為研究的熱點。本文介紹了Web應用系統(tǒng)的漏洞與危害,研究了Web應用系統(tǒng)漏洞檢測的原理、實現(xiàn)技術,其中重點研究了SQL注入和跨站點腳本漏洞。在此基礎上設計了一個基于網(wǎng)絡的Web應用漏洞掃描器--IMIScaner,并實現(xiàn)了系統(tǒng)原型。 目前已有的一些掃描系統(tǒng)還不太完善,有些系統(tǒng)依然采用被動的基于主機的掃描方式；有些系統(tǒng)掃描速度慢,存在死角；有些系統(tǒng)則是漏洞規(guī)則設計針對性不強,掃描效率低下

2、?？茖W、高效、準確地測試Web應用的安全性十分必要,是所有Web應用系統(tǒng)所面臨的共同難題。 基于強關聯(lián)的遍歷模型自動、完整、全面地遍歷整個Web應用,同時提取Web應用協(xié)議數(shù)據(jù),這些協(xié)議數(shù)據(jù)能夠幫助理解整個Web應用,有助于發(fā)現(xiàn)Web應用的未知漏洞。根據(jù)對遍歷結果的分析發(fā)現(xiàn)漏洞和交互單元的屬性是強關聯(lián)的關系,這也為漏洞規(guī)則設計和攻擊參數(shù)的自動生成提供了依據(jù)。本文將等價類的思想引入到規(guī)則庫的設計中,力求做到全面,同時為了解決漏洞庫