【摘要】：隨著Internet的快速發(fā)展,Web應(yīng)用系統(tǒng)因其易用性、易于開發(fā)和開放性使其在各個(gè)領(lǐng)域都得到了廣泛的應(yīng)用,但也正是因此Web應(yīng)用的安全問(wèn)題日益突出。大量的Web應(yīng)用攻擊給企業(yè)和用戶造成了巨大的經(jīng)濟(jì)損失,Web應(yīng)用安全問(wèn)題已成為人們最關(guān)注的網(wǎng)絡(luò)問(wèn)題之一。 本文設(shè)計(jì)實(shí)現(xiàn)的Web應(yīng)用安全漏洞掃描系統(tǒng)能夠?qū)β┒催M(jìn)行掃描檢測(cè),從而及時(shí)發(fā)現(xiàn)并修補(bǔ)漏洞,防患于未然,達(dá)到保證Web應(yīng)用安全的目的。因此本課題的研究成果具有較強(qiáng)的針對(duì)性和實(shí)用性。 Web應(yīng)用安全漏洞掃描系統(tǒng)的原理是通過(guò)模擬黑客的攻擊行為實(shí)現(xiàn)檢測(cè)功能,即向服務(wù)器發(fā)送具有特定漏洞檢測(cè)特征的HTTP請(qǐng)求,通過(guò)對(duì)HTTP請(qǐng)求的響應(yīng)進(jìn)行分析來(lái)確定是否存在漏洞。本文首先分析當(dāng)前Web應(yīng)用安全的嚴(yán)峻形勢(shì),調(diào)研國(guó)內(nèi)外安全產(chǎn)品,總結(jié)漏洞掃描工具的優(yōu)勢(shì)與不足,為系統(tǒng)的設(shè)計(jì)與開發(fā)尋找思路；接著研究并改進(jìn)了網(wǎng)絡(luò)爬蟲的關(guān)鍵技術(shù),總結(jié)了SQL注入(Structured Query Language Injection)和XSS (Cross Site Script,跨站點(diǎn)腳本攻擊)等常見(jiàn)漏洞的產(chǎn)生原因、檢測(cè)方法以及防御手段,設(shè)計(jì)了漏洞危險(xiǎn)指標(biāo)評(píng)價(jià)準(zhǔn)則,為系統(tǒng)的開發(fā)實(shí)現(xiàn)提供了理論依據(jù)；然后設(shè)計(jì)了擴(kuò)展性良好的Web應(yīng)用安全漏洞掃描系統(tǒng)的基礎(chǔ)架構(gòu),在此基礎(chǔ)上,結(jié)合網(wǎng)絡(luò)爬蟲、漏洞檢測(cè)以及安全評(píng)估技術(shù),實(shí)現(xiàn)了自動(dòng)檢測(cè)SQL注入和XSS漏洞的掃描系統(tǒng)；最后通過(guò)測(cè)試驗(yàn)證了系統(tǒng)的可用性、準(zhǔn)確性和高效性,并對(duì)下一步工作進(jìn)行了總結(jié)分析。
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2014
【分類號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前1條

1 陳鐵明,蔡家楣,蔣融融,馮憲澄;基于插件的安全漏洞掃描系統(tǒng)設(shè)計(jì)[J];計(jì)算機(jī)工程與設(shè)計(jì);2004年02期

，

本文編號(hào)：2559027