主动攻击式Web应用程序漏洞检测系统设计与实现

摘要

随着Web技术的普及,Web应用程序漏洞检测技术越来越成为国内外研究的重点和热点。本文介绍了Web应用程序现存的漏洞以及带来的危害,研究了Web应用程序漏洞检测的原理和实现技术,其中重点深入研究了跨站点脚本漏洞和SQL注入漏洞,并在此基础上设计了一个基于主动攻击式的Web应用程序漏洞检测系统,并且实现了系统原型。
　　 目前现有的一些扫描系统仍不太完善,有些系统仍然采用被动的扫描方式；有些系统针对漏洞的扫描速度慢且存在死角；有些系统则是对于漏洞规则设计的针对性不强,导致扫描效率低下。如何能够科学、高效、准确地检测Web应用程序存在的漏洞变得十分重要和必要,是所有Web应用程序开发者和测试者所共同面临的难题。
　　 基于主动攻击式的Web应用程序漏洞检测模型能够自动、完整、全面地遍历整个Web应用程序,并且同时提取Web应用程序中的页面结果信息。这些页面结构信息能够帮助理解整个Web应用,能够根据Web应用程序漏洞规则对页面进行分类。根据针对Web应用程序漏洞的研究得出跨站点脚本漏洞以及SQL注入漏洞的产生规则,并在程序中自动生成相关参数。在本文设计的系统中采用插件式结构,不同的功能均以插件的形式组合在一起,提高了系统的安全性和重用性。并且本文提出了针对不同漏洞采用分级制度,根据漏洞分级进行不同安全等级的检测。因此,本文在漏洞扫描的核心部分中,具有一定新意。本系统实现了对跨站点脚本漏洞和SQL注入漏洞的扫描与检测,最后针对系统原型进行了测试,证明了系统设计的可行性和检测参数设计的合理性。

目录

文摘

英文文摘

图目录

表目录

第一章 、 绪论

第一节 研究背景

第二节 研究意义和目标

第三节 本文主要研究内容

第四节 本文组织结构

第二章 、Web应用程序漏洞简介

第一节 Web应用程序存在的漏洞及危害

2.1.1 漏洞概述

2.1.2 跨站点脚本漏洞

2.1.3 SQL注入漏洞

2.1.4 远程文件包含漏洞恶意文件执行

2.1.5 跨站点请求伪造漏洞

2.1.6 不安全的直接对象引用漏洞

2.1.7 信息泄露和不正确的错误处理漏洞

2.1.8 失效的账户和线程管理漏洞

2.1.9 不安全的密码存储漏洞

第二节 Web应用程序漏洞检测技术的发展

第三节 Web应用程序漏洞扫描工具

第三章 、主动攻击式web应用程序漏洞检测系统设计

第一节 主动攻击式Web应用程序漏洞检测系统整体设计

第二节 遍历模块设计

第三节 参数生成模块设计

3.3.1 遗传算法生成跨站点脚本漏洞参数

3.3.2 SQL注入漏洞

第四节 目标系统设计

3.4.1 漏洞分级

第四章 、主动攻击式Web应用程序漏洞检测系统实现

第一节 系统结构

第二节 设置模块

第三节 控制模块和爬行模块

第四节 扫描模块

4.5.1 XSS跨站点脚本漏洞扫描

4.5.2 SQL注入漏洞扫描

第五节 状态及结果显示模块

第六节 目标系统

4.7.1 JSP网站-新闻发布系统

4.7.2 ASP网站-化妆品销售平台

第五章 、 系统测试结果

第一节 测试目的

第二节 测试环境

第三节 测试过程

5.3.1 JSP目标网站测试

5.3.2 ASP目标网站测试

第四节 实验结果分析

第六章 、总结和展望

第一节 本文工作总结

第二节 研究工作展望

参考文献

致谢

个人简历、学术论文与研究成果