基于Python的自动代理Web漏洞扫描器的设计与实现
发布时间:2021-02-01 05:25
Web扫描器是提高网站安全性,让渗透效率快速提升不可或缺的一部分,现有的优秀扫描器的扫描功能都很强大,但是代理功能却并不强。本文开发了一款基于Python的自动代理Web漏洞扫描器,利用爬虫和asyncio技术维护一个动态的免费代理池,通过随机调用代理池里的有效代理进行Web扫描。因为测试全程可以使用随机代理,所以即使出现多个代理被安全设备发现的情况下也能继续进行有效的测试,这将大大提高授权情况下的黑盒测试下的效率。同时爬虫还使用了多进程,布尔去重,广度优先爬取等技术进一步减少测试所需要的时间。
【文章来源】:科技视界. 2020,(17)
【文章页数】:5 页
【部分图文】:
软件需求分析
Sql注入的自动化判断难在如何获取注入点,本扫描器通过提炼网页中的form表单并进行自动填充提交在获取对应的url从而获得可能存在注入点的url。Ur测试时craw_url()函数对爬取的页面进行form表单的自动填充并拼接上我们所测试的多个playload。_craw(函数从队列中获取要测试的url,先提交一个含有单个单引号的playload的url看是否存在报错,如果不报错则说明可能使用了双引号,则进行双引号的字符型Sq注入测试和搜索型的Sql注入测试;如果报错则再提交一个含有单个双引号playload的url看是否报错,如果在报错则可能是数字型的Sql注入漏洞,则利用对应的playload进行测试,如果提交一个含有单个双引号playload的url不报错则可能是单引号的字符型Sql注入测试和搜索型的Sql注入;如果按对应的playload测试后不报错,则可能含有Sql注入漏洞,将对应的url存储起来然后判断是否测试完所有的url,有则取出下一个url,没有模块结束。Sql检测模块流程图如图4。图3 爬虫模块流程图
爬虫模块流程图
【参考文献】:
期刊论文
[1]基于Web渗透测试的SQL注入研究[J]. 李鑫. 信息与电脑(理论版). 2020(03)
[2]正则表达式在python爬虫中的应用[J]. 苻玲美. 电脑知识与技术. 2019(25)
[3]面向网络爬虫的高可用动态池系统设计与实现[J]. 王佳鹏,徐海蛟,许培宇,何佳蕾,林冠成. 福建电脑. 2019(06)
[4]中国特色治网之道:理念与成就——十八大以来我国网络空间治理的回顾与思考[J]. 张蕴昭. 中国行政管理. 2019(01)
[5]面向Web应用的漏洞扫描器的设计与实现[J]. 牛咏梅. 南阳理工学院学报. 2018(06)
[6]基于Python的网络爬虫技术的关键性问题探索[J]. 唐琳,董依萌,何天宇. 电子世界. 2018(14)
[7]以法制保障网络空间安全构筑网络强国——《网络安全法》和《国家网络空间安全战略》解读[J]. 邓若伊,余梦珑,丁艺,董天策,何哲,黄璜,刘鹏飞,刘宇轩,巢乃鹏,马亮,孙宇,王国华,谢晓专,曾润喜,陈燕超,张会平,张效羽. 电子政务. 2017(02)
硕士论文
[1]基于动态分析的XSS漏洞检测方法研究[D]. 谷家腾.北京邮电大学 2019
本文编号:3012249
【文章来源】:科技视界. 2020,(17)
【文章页数】:5 页
【部分图文】:
软件需求分析
Sql注入的自动化判断难在如何获取注入点,本扫描器通过提炼网页中的form表单并进行自动填充提交在获取对应的url从而获得可能存在注入点的url。Ur测试时craw_url()函数对爬取的页面进行form表单的自动填充并拼接上我们所测试的多个playload。_craw(函数从队列中获取要测试的url,先提交一个含有单个单引号的playload的url看是否存在报错,如果不报错则说明可能使用了双引号,则进行双引号的字符型Sq注入测试和搜索型的Sql注入测试;如果报错则再提交一个含有单个双引号playload的url看是否报错,如果在报错则可能是数字型的Sql注入漏洞,则利用对应的playload进行测试,如果提交一个含有单个双引号playload的url不报错则可能是单引号的字符型Sql注入测试和搜索型的Sql注入;如果按对应的playload测试后不报错,则可能含有Sql注入漏洞,将对应的url存储起来然后判断是否测试完所有的url,有则取出下一个url,没有模块结束。Sql检测模块流程图如图4。图3 爬虫模块流程图
爬虫模块流程图
【参考文献】:
期刊论文
[1]基于Web渗透测试的SQL注入研究[J]. 李鑫. 信息与电脑(理论版). 2020(03)
[2]正则表达式在python爬虫中的应用[J]. 苻玲美. 电脑知识与技术. 2019(25)
[3]面向网络爬虫的高可用动态池系统设计与实现[J]. 王佳鹏,徐海蛟,许培宇,何佳蕾,林冠成. 福建电脑. 2019(06)
[4]中国特色治网之道:理念与成就——十八大以来我国网络空间治理的回顾与思考[J]. 张蕴昭. 中国行政管理. 2019(01)
[5]面向Web应用的漏洞扫描器的设计与实现[J]. 牛咏梅. 南阳理工学院学报. 2018(06)
[6]基于Python的网络爬虫技术的关键性问题探索[J]. 唐琳,董依萌,何天宇. 电子世界. 2018(14)
[7]以法制保障网络空间安全构筑网络强国——《网络安全法》和《国家网络空间安全战略》解读[J]. 邓若伊,余梦珑,丁艺,董天策,何哲,黄璜,刘鹏飞,刘宇轩,巢乃鹏,马亮,孙宇,王国华,谢晓专,曾润喜,陈燕超,张会平,张效羽. 电子政务. 2017(02)
硕士论文
[1]基于动态分析的XSS漏洞检测方法研究[D]. 谷家腾.北京邮电大学 2019
本文编号:3012249
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3012249.html
