基于網(wǎng)絡(luò)爬蟲(chóng)的WEB漏洞掃描系統(tǒng)的開(kāi)發(fā).pdf

1、隨著WEB應(yīng)用的迅速推廣和普及，WEB應(yīng)用程序的安全問(wèn)題已經(jīng)受到越來(lái)越多的人們的關(guān)注。據(jù)Gartner調(diào)查，75％以上的互聯(lián)網(wǎng)攻擊和網(wǎng)絡(luò)安全事故，主要是利用WEB應(yīng)用程序漏洞而發(fā)生的。根據(jù)2013年OWASP發(fā)布的WEB應(yīng)用十大關(guān)鍵風(fēng)險(xiǎn)中，SQL注入和XSS漏洞依然高居首位。如何高效準(zhǔn)確的掃描這兩種高危漏洞，目前是人們研究的熱點(diǎn)。
　　針對(duì)WEB存在SQL注入和XSS漏洞，本文開(kāi)發(fā)了WEB漏洞掃描系統(tǒng)，論文主要工作包括：
　

2、　(1)基于WER應(yīng)用漏洞掃描的原理和方法，分析了當(dāng)前主流的同類(lèi)系統(tǒng)或工具存在的若干問(wèn)題。
　　(2)研究了WEB應(yīng)用漏洞中的XSS及SQL注入漏洞，即漏洞產(chǎn)生原因和危害及漏洞掃描方法．
　　(3)設(shè)計(jì)了展性能良好的WEB應(yīng)用漏洞掃描的系統(tǒng)架構(gòu)及功能。
　　(4)基于網(wǎng)絡(luò)爬蟲(chóng)技術(shù)，通過(guò)開(kāi)源項(xiàng)目HttpClient來(lái)采集WEB頁(yè)面，應(yīng)用正則表達(dá)式來(lái)提取匹配WEB應(yīng)用程序中的URL，采用Berkeley DB數(shù)據(jù)庫(kù)技術(shù)，很

3、好的解決了傳統(tǒng)URL去重方法中存在的問(wèn)題，并有效獲取了漏洞掃描所需的相關(guān)信息。
　　(5)針對(duì)XSS及SQL注入漏洞，設(shè)計(jì)與實(shí)現(xiàn)了基于網(wǎng)絡(luò)爬蟲(chóng)的WEB漏洞掃描系統(tǒng)。
　　通過(guò)設(shè)計(jì)本文設(shè)計(jì)的測(cè)試方案，完成了功能測(cè)試、性能測(cè)試以及掃描準(zhǔn)確性分析測(cè)試，測(cè)試結(jié)果表明，本系統(tǒng)對(duì)于XSS和SQL注入漏洞的識(shí)別與同類(lèi)其它工其或系統(tǒng)對(duì)這兩種漏洞的識(shí)別相比，本文開(kāi)發(fā)的系統(tǒng)較好的解決了XSS及SQL注入漏洞檢測(cè)的有效性和準(zhǔn)確性。因此本文開(kāi)發(fā)的系