發(fā)布時間：2021-08-05 07:50

　　Web應用漏洞掃描技術(shù)是保障web應用安全的重要技術(shù)之一,其核心思想是站在黑客的角度向web站點發(fā)送精心構(gòu)造的檢測請求,根據(jù)其響應信息判斷目標站點是否存在特定漏洞,web應用漏洞掃描致力于在應用層上保證web應用的安全,和防火墻、入侵檢測系統(tǒng)等網(wǎng)絡(luò)層防護措施一起,對一個web應用的運行環(huán)境形成全方位的安全防護。伴隨著web應用在技術(shù)和規(guī)模上的快速發(fā)展,web應用漏洞掃描技術(shù)從最初的人工檢測方式,發(fā)展到基于管理員的主機檢測方式,直到現(xiàn)在的基于網(wǎng)絡(luò)的檢測方式,Web應用漏洞掃描技術(shù)已相對成熟,相關(guān)的商業(yè)產(chǎn)品也層出不窮,由于當前的web應用呈現(xiàn)分布式集群的特點,目前市面上大多數(shù)的web應用漏洞掃描器都是基于網(wǎng)絡(luò)的。縱觀種類繁多的web應用漏洞掃描器,仍存在不足,主要表現(xiàn)在：首先,大多數(shù)web應用漏洞掃描器采用基于廣度優(yōu)先算法的普通爬蟲遍歷目標站點的目錄結(jié)構(gòu),效率不高。其次,大多數(shù)web應用漏洞掃描器采用漏洞規(guī)則庫或者掃描插件模式檢測漏洞,這兩種模式各有優(yōu)缺點,且掃描結(jié)果覆蓋都不夠全面。針對以上web應用漏洞掃描器普遍存在的兩個主要問題,本文提出的基于網(wǎng)絡(luò)的web應用漏洞掃描系統(tǒng)做了針對性的改... 

【文章來源】：北京郵電大學北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：72 頁

【學位級別】：碩士

【文章目錄】：
摘要
ABSTRACT
第一章 緒論
    1.1 項目背景
    1.2 WEB應用漏洞掃描的概念
    1.3 論文的總體結(jié)構(gòu)與作者的工作
第二章 WEB應用漏洞掃描論述
    2.1 WEB應用漏洞掃描的發(fā)展歷史和現(xiàn)狀
        2.1.1 各歷史階段所采用檢測方式的優(yōu)缺點
        2.1.2 基于網(wǎng)絡(luò)的WEB應用漏洞檢測技術(shù)
    2.2 WEB應用安全概述
        2.2.1 WEB應用漏洞分類
        2.2.2 WEB應用漏洞挖掘技術(shù)
        2.2.3 SQL注入漏洞檢測技術(shù)
        2.2.4 跨站腳本漏洞檢測技術(shù)
    2.3 小結(jié)
第三章 基于網(wǎng)絡(luò)的WEB應用漏洞掃描系統(tǒng)的分析與設(shè)計
    3.1 系統(tǒng)采用的主要技術(shù)及其改進
        3.1.1 HTTP協(xié)議模型
        3.1.2 改進的網(wǎng)絡(luò)爬蟲技術(shù)
        3.1.3 基于正則表達式的HTML解析技術(shù)
        3.1.4 基于反饋機制的檢測參數(shù)庫
    3.2 系統(tǒng)功能分析
    3.3 系統(tǒng)各模塊詳細設(shè)計
        3.3.1 HTTP訪問模塊
        3.3.2 控制調(diào)度模塊
        3.3.3 配置文件模塊
        3.3.4 網(wǎng)絡(luò)爬蟲模塊
        3.3.5 掃描功能模塊
        3.3.6 數(shù)據(jù)庫
        3.3.7 跨站腳本檢測參數(shù)的設(shè)計
    3.4 小結(jié)
第四章 系統(tǒng)性能分析
    4.1 測試目的
    4.2 測試環(huán)境
    4.3 表單爬蟲性能測試
    4.4 系統(tǒng)整體方案的分析
    4.5 系統(tǒng)掃描測試
    4.6 小結(jié)
第五章 結(jié)束語
    5.1 論文工作總結(jié)
    5.2 問題和展望
參考文獻
致謝
攻讀學位期間發(fā)表的學術(shù)論文


【參考文獻】：
期刊論文
[1]Web攻擊及安全防護技術(shù)研究[J]. 李必云,石俊萍.  電腦知識與技術(shù). 2009(31)
[2]基于爬蟲的XSS漏洞檢測工具設(shè)計與實現(xiàn)[J]. 沈壽忠,張玉清.  計算機工程. 2009(21)
[3]Web應用中的攻擊防御技術(shù)的研究與實現(xiàn)[J]. 俞小怡,常艷,許捍衛(wèi).  計算機安全. 2008(06)
[4]基于表單爬蟲的Web漏洞探測[J]. 趙亭,陸余良,劉金紅,孫宏綱,施凡.  計算機工程. 2008(09)
[5]基于跨站腳本的網(wǎng)絡(luò)漏洞攻擊與防范[J]. 吳耀斌,王科,龍岳紅.  計算機系統(tǒng)應用. 2008(01)
[6]NESSUS基本原理及其關(guān)鍵技術(shù)分析[J]. 張靜媛,黃丹丹,楊曉彥,王若欣,張玉清.  電子科技. 2006(11)
[7]基于靜態(tài)分析的安全漏洞檢測技術(shù)研究[J]. 夏一民,羅軍,張民選.  計算機科學. 2006(10)
[8]一種新型網(wǎng)絡(luò)安全評估系統(tǒng)研究[J]. 孫知信,徐紅霞.  南京郵電大學學報(自然科學版). 2006(03)
[9]網(wǎng)絡(luò)漏洞掃描系統(tǒng)的功能分析與CIM建模[J]. 許艷蕊,鐘求喜,胡華平.  計算機工程與科學. 2006(02)
[10]網(wǎng)站拓撲結(jié)構(gòu)提取技術(shù)的研究與應用[J]. 何玉寶,劉正捷,田曉杰.  計算機工程. 2006(01)

碩士論文
[1]基于網(wǎng)絡(luò)爬蟲的跨站腳本漏洞動態(tài)檢測技術(shù)研究[D]. 趙艷.西南交通大學 2011
[2]Web應用程序安全漏洞挖掘的研究[D]. 陸凱.西安電子科技大學 2010
[3]計算機網(wǎng)絡(luò)脆弱性評估系統(tǒng)的設(shè)計與實現(xiàn)[D]. 邢栩嘉.清華大學 2004



本文編號：3323377