论文部分内容阅读
随着计算机技术和信息技术的发展,Web应用系统在各个领域都得到了广泛的应用,伴随而来的针对Web应用的攻击也大幅度上升。Web应用系统开发周期较短,而WEB开发人员安全编程意识和能力严重不足,Web应用程序存在漏洞是难免的,给攻击者留下大量可乘之机。如何检测评估Web应用系统的安全性,是Web安全领域面临的严峻问题。Web应用安全漏洞检测技术,工作在应用层HTTP协议上,模拟黑客攻击的方式,向服务器发送具有特定漏洞探测特征的HTTP请求,期望从服务器的应答中来发现服务器存在的Web应用安全漏洞。传统的防火墙、IDS/IPS从网络层面对Web系统提供安全保护,Web应用安全漏洞扫描工具与它们是互补的,它们共同保证Web系统的安全。通过Web应用安全漏洞扫描,可以在Web应用受攻击前,对Web应用进行健康检查,从而提早了解到Web应用存在的安全漏洞,并进行修补,降低系统受攻击的风险,是成本最低并且效果最好的Web安全防护手段。Web安全是网络安全中最严重的问题之一,进行Web应用漏洞检测技术研究是一项十分有意义的工作。论文首先分析了Web应用安全严峻的形式以及Web应用安全漏洞检测技术的迫切需求;接着跟踪了Web应用安全的国内外现状,研究了Web应用安全漏洞的分类及其检测技术的发展,总结了基于网络爬虫的SQL注入和XSS漏洞检测方法;在此基础上,设计了扩展性良好的Web应用安全漏洞扫描工具的系统基础架构,分析了主要构成部分的工作原理,实现了系统原型;然后对系统原型进行了测试,证实了设计的可行性与合理性;最后分析了系统的不足以及下一步的工作。