Web應(yīng)用安全漏洞掃描技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)飛速發(fā)展，Web應(yīng)用越來越普及，蘊(yùn)含越來越多的經(jīng)濟(jì)價(jià)值，但其安全性沒有得到足夠的重視，Web應(yīng)用逐漸成為攻擊者的主要目標(biāo)，存在嚴(yán)重的安全隱患。為了保障Web應(yīng)用的安全性，找到合適的Web應(yīng)用安全漏洞檢測方法刻不容緩。傳統(tǒng)的人工檢測漏洞方式費(fèi)時(shí)費(fèi)力，效率低效果差，而且隨著Web應(yīng)用規(guī)模變大、軟件開發(fā)周期變短變得更加不可行，必須借助自動(dòng)化漏洞掃描工具，才能有效地提升Web應(yīng)用的安全性。
　　針對上述問題，本文對Web應(yīng)用安全

2、漏洞掃描相關(guān)技術(shù)進(jìn)行研究，首先闡述漏洞掃描相關(guān)概念，之后分析具體的掃描技術(shù)，并著重描述了動(dòng)態(tài)掃描技術(shù)的執(zhí)行過程。之后介紹了Web應(yīng)用安全漏洞掃描工具的評估方法，為本文的主要工作做了理論鋪墊。本文主要貢獻(xiàn)如下:
　　第一，目前業(yè)界流行的Web應(yīng)用安全漏洞掃描工具很多，需要一個(gè)橫向評估，為漏洞檢測人員選擇適合自己應(yīng)用場景下的掃描工具提供參考。本文根據(jù)Web應(yīng)用安全漏洞掃描工具評估標(biāo)準(zhǔn)及基準(zhǔn)測試方法，選擇合適的Web應(yīng)用wavsep，設(shè)

3、計(jì)并實(shí)施實(shí)驗(yàn)，從漏洞覆蓋率、誤報(bào)率、功能支持、性能、易用性等多個(gè)角度全方位地對時(shí)下流行的七款Web應(yīng)用安全漏洞掃描工具做出評估，為Web應(yīng)用安全防范工作提供全面的參考。
　　第二，利用流行的漏洞掃描工具SkipFish對Web系統(tǒng)X做了漏洞掃描，探索漏洞掃描工具的正確的使用方法以及掃描結(jié)果去偽存真的分析方法，并針對不同類型的漏洞給出修復(fù)意見，旨在分享漏洞掃描工具應(yīng)用及掃描結(jié)果分析的經(jīng)驗(yàn)。
　　第三，再好的漏洞掃描工具也是不完

4、美的，就拿筆者比較熟悉的SkipFish來講，它雖然是一款優(yōu)秀的Web應(yīng)用安全漏洞掃描工具，仍然有很多細(xì)節(jié)值得商榷和改進(jìn)。在以上對SkipFish深入使用的基礎(chǔ)上，本文深入分析SkipFish的架構(gòu)和掃描原理，特別對SQL注入漏洞掃描機(jī)制做了細(xì)致分析，結(jié)合SkipFish掃描wavsep報(bào)告找到SkipFish中的不足之處，添加了后臺數(shù)據(jù)庫判斷、基于時(shí)間延遲的攻擊請求與響應(yīng)分析過程，并進(jìn)行二次開發(fā)。通過實(shí)驗(yàn)驗(yàn)證，改進(jìn)后的SkipFish