面向Web應(yīng)用的安全評估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)及網(wǎng)絡(luò)通信技術(shù)的迅速發(fā)展，如今的互聯(lián)網(wǎng)已經(jīng)成為觸及全球任何角落的開放網(wǎng)絡(luò)，給人們帶來了實(shí)時(shí)、方便、快捷及低成本的服務(wù)。簡單易用的Web應(yīng)用程序的流行，使得現(xiàn)在的網(wǎng)絡(luò)世界幾乎囊括生活的方方面面。與此同時(shí)，政府、金融、企業(yè)將眾多的應(yīng)用部署在Web上，使得應(yīng)用安全問題不斷突出。加之現(xiàn)在的掛馬事件、釣魚事件、網(wǎng)絡(luò)入侵事件的頻頻曝光，造成了很大的經(jīng)濟(jì)損失。在這樣的背景下，如何檢測Web網(wǎng)絡(luò)應(yīng)用軟件的安全漏洞，變得非常緊迫，已成為當(dāng)前權(quán)威

2、軟件安全測評機(jī)構(gòu)的研究熱點(diǎn)問題。
　　本文以針對Web應(yīng)用程序的安全事件為研究對象，分析Web應(yīng)用的各種漏洞利用原理，主要進(jìn)行如下幾方面的工作：
　　1)從軟件工程的角度，對本課題研發(fā)的Web安全評估系統(tǒng)軟件從需求分析、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)以及編碼實(shí)現(xiàn)的整個(gè)過程進(jìn)行分析與論述。
　　2)詳細(xì)剖析了Web應(yīng)用軟件的各種漏洞，主要包括其產(chǎn)生原因、危害、避免方式、檢測方法等，針對每種不同漏洞攻擊的特點(diǎn)制定出滲透檢測策略。

3、>　　3)針對不同漏洞的特性，改進(jìn)了網(wǎng)絡(luò)爬蟲技術(shù)，并利用該技術(shù)收集Web應(yīng)用程序中可能存在漏洞的可疑點(diǎn)的信息。
　　4)利用黑盒滲透測試技術(shù)，并結(jié)合各種漏洞的檢測技術(shù)，編寫代碼構(gòu)造測試報(bào)文，對可疑站點(diǎn)進(jìn)行注入測試，并給出評測結(jié)果。
　　5)實(shí)現(xiàn)了一個(gè)針對Web應(yīng)用程序中的14種主流漏洞的自動(dòng)探測工具模塊。
　　6)對Web評測工具進(jìn)行了整體測試，驗(yàn)證了本系統(tǒng)軟件測試結(jié)果的準(zhǔn)確性。
　　總之，本系統(tǒng)首先通過爬蟲技術(shù)