基于渗透测试的分布式跨站漏洞挖掘系统的设计与实现

摘要

随着计算机技术和网络技术的高速发展，Web应用给我们社会的发展带来了众多便捷服务。伴随着Web应用程序地位的提升，也导致了互联网应用系统的各种安全漏洞普遍存在，并且给Web应用带来更多的安全隐患。Web2.0下应用程序的安全漏洞，已经成为互联网上最严重的安全隐患之一，尤其是跨站漏洞，一直以来位居所有安全威胁之首，这些安全漏洞极大地影响了互联网的安全性和可靠性，因此，加强互联网的安全建设迫在眉睫。
　　 基于上述分析，对于Web2.0的Web应用程序的安全漏洞的研究与防范，尤其是对危害意义相当严重的跨站漏洞的研究与防范具有非常重要的意义，如何保障Web应用程序的安全性，设计一个高效、安全、全面的跨站漏洞挖掘系统，已经成为保障互联网安全的迫切需求，也是当前网络安全研究的热点。
　　 本文以Web应用程序中的XSS(cross site scripting)漏洞为研究对象，结合渗透测试的理论，利用分布式系统的思想，设计了一个Web2.0下跨站漏洞的挖掘系统，本文主要完成了以下的工作：
　　 1)总结分析了Web2.0的关键技术，互联网的安全问题，以及渗透测试的相关理论，并详细剖析了跨站漏洞的产生原因、相关原理、危害、避免方式以及检测方法；
　　 2)详细介绍了网络爬虫技术，并针对XSS漏洞的特性，改进了网络爬虫技术；利用该技术实现对测试网站URL的爬取；
　　 3)介绍了分布式系统Gearman的相关理论知识，并利用该系统设计了一个分布式的跨站漏洞挖掘系统；
　　 4)在漏洞检测过程中，使用渗透测试以及正则表达等技术，并结合XSS漏洞的检测技术，对可疑点进行注入测试；
　　 5)实现了一个针对Web2.0应用程序中的分布式XSS漏洞的自动挖掘系统。