当前位置:主页 > 管理论文 > 移动网络论文 >

Web应用安全漏洞扫描技术研究

发布时间:2017-09-10 03:21

  本文关键词:Web应用安全漏洞扫描技术研究


  更多相关文章: Web应用 安全漏洞扫描 动态扫描 SkipFish SQL注入


【摘要】:随着互联网飞速发展,Web应用越来越普及,蕴含越来越多的经济价值,但其安全性没有得到足够的重视,Web应用逐渐成为攻击者的主要目标,存在严重的安全隐患。为了保障Web应用的安全性,找到合适的Web应用安全漏洞检测方法刻不容缓。传统的人工检测漏洞方式费时费力,效率低效果差,而且随着Web应用规模变大、软件开发周期变短变得更加不可行,必须借助自动化漏洞扫描工具,才能有效地提升Web应用的安全性。针对上述问题,本文对Web应用安全漏洞扫描相关技术进行研究,首先阐述漏洞扫描相关概念,之后分析具体的扫描技术,并着重描述了动态扫描技术的执行过程。之后介绍了Web应用安全漏洞扫描工具的评估方法,为本文的主要工作做了理论铺垫。本文主要贡献如下:第一,目前业界流行的Web应用安全漏洞扫描工具很多,需要一个横向评估,为漏洞检测人员选择适合自己应用场景下的扫描工具提供参考。本文根据Web应用安全漏洞扫描工具评估标准及基准测试方法,选择合适的Web应用wavsep,设计并实施实验,从漏洞覆盖率、误报率、功能支持、性能、易用性等多个角度全方位地对时下流行的七款Web应用安全漏洞扫描工具做出评估,为Web应用安全防范工作提供全面的参考。第二,利用流行的漏洞扫描工具SkipFish对Web系统X做了漏洞扫描,探索漏洞扫描工具的正确的使用方法以及扫描结果去伪存真的分析方法,并针对不同类型的漏洞给出修复意见,旨在分享漏洞扫描工具应用及扫描结果分析的经验。第三,再好的漏洞扫描工具也是不完美的,就拿笔者比较熟悉的SkipFish来讲,它虽然是一款优秀的Web应用安全漏洞扫描工具,仍然有很多细节值得商榷和改进。在以上对SkipFish深入使用的基础上,本文深入分析SkipFish的架构和扫描原理,特别对SQL注入漏洞扫描机制做了细致分析,结合SkipFish扫描wavsep报告找到SkipFish中的不足之处,添加了后台数据库判断、基于时间延迟的攻击请求与响应分析过程,并进行二次开发。通过实验验证,改进后的SkipFish对于SQL注入漏洞的扫描覆盖率,的确得到了显著提升。
【关键词】:Web应用 安全漏洞扫描 动态扫描 SkipFish SQL注入
【学位授予单位】:浙江大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
  • 摘要3-5
  • Abstract5-13
  • 第1章 绪论13-17
  • 1.1 课题背景与研究意义13-15
  • 1.2 研究内容与论文结构15-17
  • 1.2.1 研究内容15
  • 1.2.2 论文结构15-17
  • 第2章 Web应用安全漏洞扫描综述17-30
  • 2.1 Web应用安全漏洞综述17-22
  • 2.1.1 Web应用安全漏洞概念17
  • 2.1.2 Web应用安全漏洞分类17-20
  • 2.1.3 Web应用安全漏洞产生原因20-21
  • 2.1.4 Web应用安全漏洞风险评估21-22
  • 2.2 Web应用安全漏洞扫描技术分析22-26
  • 2.2.1 静态扫描技术22-23
  • 2.2.2 动态扫描技术23-26
  • 2.3 Web应用安全漏洞扫描工具评估研究26-29
  • 2.3.1 Web应用安全漏洞扫描工具评价标准26-27
  • 2.3.2 Web应用安全漏洞扫描工具基准测试方法27-29
  • 2.4 本章小结29-30
  • 第3章 Web应用安全漏洞扫描工具评估30-39
  • 3.1 选型30-32
  • 3.1.1 扫描对象选型30-31
  • 3.1.2 扫描工具选型31-32
  • 3.2 实验过程32-33
  • 3.2.1 实验环境32
  • 3.2.2 测试步骤32-33
  • 3.3 实验结果分析与评估33-37
  • 3.4 结论37-38
  • 3.5 本章小结38-39
  • 第4章 用SkipFish扫描Web应用安全漏洞39-49
  • 4.1 SkipFish39
  • 4.2 系统X39-43
  • 4.2.1 系统背景及架构39-40
  • 4.2.2 X-GUI模块介绍40-43
  • 4.3 用SkipFish扫描X-GUI43-47
  • 4.3.1 扫描环境43
  • 4.3.2 扫描步骤43-44
  • 4.3.3 扫描结果与分析44-47
  • 4.4 X-GUI改进意见47-48
  • 4.4.1 SQL注入漏洞47-48
  • 4.4.2 不安全的直接对象引用48
  • 4.4.3 跨站脚本攻击48
  • 4.5 本章小结48-49
  • 第5章 SkipFish研究与改进49-73
  • 5.1 SkipFish架构分析49-55
  • 5.1.1 HTTP模块50-52
  • 5.1.2 Crawler模块52-53
  • 5.1.3 Analysis模块53-54
  • 5.1.4 Check模块54
  • 5.1.5 Report模块54-55
  • 5.2 SkipFish扫描SQL注入漏洞分析55-61
  • 5.2.1 请求构造58
  • 5.2.2 响应分析58-61
  • 5.3 SkipFish改进方案设计61-68
  • 5.3.1 后台数据库类型判断62-65
  • 5.3.2 基于时间技术的延迟请求生成65-67
  • 5.3.3 时间延迟检验67-68
  • 5.4 SkipFish改进方案实现68-71
  • 5.5 实验71-72
  • 5.6 本章小结72-73
  • 第6章 总结与展望73-75
  • 6.1 本文工作总结73-74
  • 6.2 未来工作展望74-75
  • 参考文献75-77
  • 攻读硕士学位期间主要的研究成果77-78
  • 致谢78-79

【相似文献】

中国期刊全文数据库 前10条

1 ;启明星辰推出新一代漏洞扫描产品[J];信息网络安全;2003年11期

2 卢铮;分布式漏洞扫描技术与系统[J];信息网络安全;2005年09期

3 赵燕;;漏洞扫描技术浅析[J];内蒙古水利;2011年03期

4 朱健华;;浅析信息化建设中的安全漏洞扫描技术[J];中国科技投资;2012年27期

5 吴宏胜;浅析分布式漏洞扫描系统[J];信息网络安全;2005年04期

6 段丹青;陈松乔;杨卫平;;融合漏洞扫描的入侵检测系统模型的研究[J];计算机技术与发展;2006年05期

7 陈东红;王震宇;邓承志;;分布式漏洞扫描系统的设计[J];信息工程大学学报;2006年02期

8 夏洁武;郭晨;;一个基于漏洞扫描的安全中间件架构设计[J];微计算机信息;2007年12期

9 段丹青;陈松乔;杨卫平;;漏洞扫描与入侵检测联动系统的研究[J];计算机应用研究;2007年07期

10 李为;;谈系统漏洞扫描[J];天津职业院校联合学报;2007年05期

中国重要会议论文全文数据库 前10条

1 于磊;屈樊;吴礼发;;漏洞扫描技术研究[A];2007通信理论与技术新发展——第十二届全国青年通信学术会议论文集(上册)[C];2007年

2 龚小刚;;网络漏洞扫描技术研究[A];中国电子学会第十七届信息论学术年会论文集[C];2010年

3 王琦;;漏洞扫描等工具在安全评估中的作用[A];中国信息协会信息安全专业委员会年会文集[C];2004年

4 李锋;冯珊;魏莹;周凯波;;基于移动智能体技术的漏洞扫描系统模型[A];西部开发与系统工程——中国系统工程学会第12届年会论文集[C];2002年

5 李建安;谷利泽;杨义先;;漏洞扫描与补丁管理系统的设计与实现[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年

6 李锋;陶兰;;天成网络安全卫士系统的设计和开发[A];Java技术及应用的进展——第八届中国Java技术及应用交流大会文集[C];2005年

7 王佳生;;政务信息网的安全保障体系[A];黑龙江省通信学会学术年会论文集[C];2005年

8 范渊;;Web应用风险扫描的研究与应用[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年

9 彭亮;卓新建;黄玮;范文庆;;基于网络爬虫的XSS漏洞扫描系统的设计与实现[A];第十三届中国科协年会第11分会场-中国智慧城市论坛论文集[C];2011年

10 孟江桥;李爱平;;基于Metasploit加载Nessus的漏洞扫描技术实现[A];第27次全国计算机安全学术交流会论文集[C];2012年

中国重要报纸全文数据库 前10条

1 杨亮;当前网络漏洞扫描产品市场初探[N];大众科技报;2005年

2 罗韩琦;网络漏洞扫描产品市场前景看好[N];中国高新技术产业导报;2005年

3 罗韩琦;网络漏洞扫描市场 技术与服务并重[N];中国高新技术产业导报;2005年

4 ;启明星辰推出分布式漏洞扫描系统[N];中国计算机报;2003年

5 ;为弥补系统漏洞出力[N];网络世界;2004年

6 刘金光;使用漏洞扫描工具有效防范蠕虫病毒[N];中国电脑教育报;2004年

7 ;金睛火眼寻蚁穴[N];网络世界;2005年

8 杨金龙;福建榕基提升“堵漏”新标准[N];中国企业报;2005年

9 齐文泉 钟山 杨冀龙;查找弱点 防患未然[N];计算机世界;2005年

10 ;首创网络出台新举措[N];科技日报;2001年

中国硕士学位论文全文数据库 前10条

1 占善华;分布式漏洞扫描模型研究与应用[D];广东工业大学;2013年

2 吴倩倩;综合型漏洞扫描系统的研究与设计[D];华北电力大学;2015年

3 张楠;Web应用安全漏洞扫描技术研究[D];浙江大学;2015年

4 莫闯;漏洞扫描技术研究[D];贵州大学;2006年

5 闫美凤;策略驱动的可扩展网络漏洞扫描研究[D];太原理工大学;2006年

6 李伟;基于嵌入式系统的漏洞扫描系统[D];福州大学;2003年

7 刘云皓;基于网络的安全漏洞扫描技术研究与系统实现[D];西北工业大学;2003年

8 沈伟锋;面向攻击的网络漏洞扫描技术研究及系统实现[D];西北工业大学;2004年

9 梁志恒;基于插件技术的漏洞扫描系统设计与实现[D];湖南大学;2007年

10 王良;基于插件技术的漏洞扫描系统设计与应用[D];上海交通大学;2012年



本文编号:824430

资料下载
论文发表

本文链接:https://www.wllwen.com/guanlilunwen/ydhl/824430.html


Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户a538a***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com