Web應用漏洞檢測系統(tǒng)的設計與實現(xiàn).pdf

1、網(wǎng)絡安全風險評估報告顯示，60％的網(wǎng)絡攻擊都是針對Web應用程序。在這些攻擊中，SQL注入式攻擊與跨站腳本攻擊分別占據(jù)了25％與17％。此外，目前90％的Web應用程序都存在著安全漏洞。因此，Web應用程序的安全問題是信息安全研究領域的一大熱點。面向Web的安全漏洞掃描工具既可以幫助程序開發(fā)人員創(chuàng)建安全可靠的Web應用程序，還能夠保障網(wǎng)絡用戶的重要信息，因此，隨著互聯(lián)網(wǎng)的飛速發(fā)展安全漏洞掃描器發(fā)揮著越來越重要的作用。
　　 本文

2、分析了目前基于Web的網(wǎng)絡攻擊技術，分析了Web應用的常見漏洞，并在此基礎上對當前主流的Web應用安全掃描工具的進行比較，最后設計并實現(xiàn)了一款面向Web應用的漏洞掃描工具iScan。iScan采用遞歸爬取與字典序的方法進行探測，并在檢測結果的基礎上對目標站點所存在的漏洞進行分類，最終生成檢測報告。iScan還采用了單線程復用、異步I/O等技術提高工具的掃描性能。實驗結果表明，iScan能夠檢測出常見的Web應用漏洞，生成的檢測報告可以為