面向Web應(yīng)用的安全評估系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、隨著計算機及網(wǎng)絡(luò)通信技術(shù)的迅速發(fā)展，如今的互聯(lián)網(wǎng)已經(jīng)成為觸及全球任何角落的開放網(wǎng)絡(luò)，給人們帶來了實時、方便、快捷及低成本的服務(wù)。簡單易用的Web應(yīng)用程序的流行，使得現(xiàn)在的網(wǎng)絡(luò)世界幾乎囊括生活的方方面面。與此同時，政府、金融、企業(yè)將眾多的應(yīng)用部署在Web上，使得應(yīng)用安全問題不斷突出。加之現(xiàn)在的掛馬事件、釣魚事件、網(wǎng)絡(luò)入侵事件的頻頻曝光，造成了很大的經(jīng)濟損失。在這樣的背景下，如何檢測Web網(wǎng)絡(luò)應(yīng)用軟件的安全漏洞，變得非常緊迫，已成為當(dāng)前權(quán)威

2、軟件安全測評機構(gòu)的研究熱點問題。
　　本文以針對Web應(yīng)用程序的安全事件為研究對象，分析Web應(yīng)用的各種漏洞利用原理，主要進行如下幾方面的工作：
　　1)從軟件工程的角度，對本課題研發(fā)的Web安全評估系統(tǒng)軟件從需求分析、概要設(shè)計、詳細設(shè)計以及編碼實現(xiàn)的整個過程進行分析與論述。
　　2)詳細剖析了Web應(yīng)用軟件的各種漏洞，主要包括其產(chǎn)生原因、危害、避免方式、檢測方法等，針對每種不同漏洞攻擊的特點制定出滲透檢測策略。

3、>　　3)針對不同漏洞的特性，改進了網(wǎng)絡(luò)爬蟲技術(shù)，并利用該技術(shù)收集Web應(yīng)用程序中可能存在漏洞的可疑點的信息。
　　4)利用黑盒滲透測試技術(shù)，并結(jié)合各種漏洞的檢測技術(shù)，編寫代碼構(gòu)造測試報文，對可疑站點進行注入測試，并給出評測結(jié)果。
　　5)實現(xiàn)了一個針對Web應(yīng)用程序中的14種主流漏洞的自動探測工具模塊。
　　6)對Web評測工具進行了整體測試，驗證了本系統(tǒng)軟件測試結(jié)果的準(zhǔn)確性。
　　總之，本系統(tǒng)首先通過爬蟲技術(shù)