基于爬蟲(chóng)的滲透測(cè)試系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，Web應(yīng)用在社會(huì)各個(gè)領(lǐng)域都得到了極為廣泛的應(yīng)用，伴隨而來(lái)的針對(duì)Web應(yīng)用的攻擊則不斷攀升。當(dāng)Web應(yīng)用程序存在能夠被利用的漏洞時(shí)，黑客便可以對(duì)其實(shí)施攻擊從而實(shí)現(xiàn)獲取信息資料、病毒木馬植入、偽裝釣魚(yú)網(wǎng)站、惡意插入廣告等非法操作。普通用戶(hù)在瀏覽這些Web頁(yè)面的過(guò)程中很容易導(dǎo)致計(jì)算機(jī)中毒或遭受財(cái)產(chǎn)損失。在Web應(yīng)用程序開(kāi)發(fā)過(guò)程中，如果開(kāi)發(fā)人員缺乏良好的安全編程意識(shí)和編程習(xí)慣，或者在網(wǎng)站的部署過(guò)程中，網(wǎng)站管理人員的安全意識(shí)薄

2、弱，都容易導(dǎo)致Web應(yīng)用程序出現(xiàn)安全隱患，給惡意攻擊者留下可乘之機(jī)，因此對(duì)網(wǎng)站W(wǎng)eb應(yīng)用的安全檢測(cè)是十分必要的。
　　論文首先闡述了研究背景以及滲透測(cè)試系統(tǒng)的目的及深遠(yuǎn)意義，分析了Web應(yīng)用中幾種主要的安全威脅以及針對(duì)各種漏洞的檢測(cè)手段，并針對(duì)以往爬蟲(chóng)方案存在存儲(chǔ)代價(jià)過(guò)高問(wèn)題，提出了基于Bloom過(guò)濾器的網(wǎng)頁(yè)爬蟲(chóng)算法，該算法有效地解決了網(wǎng)頁(yè)爬蟲(chóng)爬行過(guò)程中對(duì)系統(tǒng)內(nèi)存資源消耗過(guò)多的缺點(diǎn)。在此基礎(chǔ)之上設(shè)計(jì)與實(shí)現(xiàn)了一個(gè)基于爬蟲(chóng)的滲透測(cè)試系

3、統(tǒng)，該系統(tǒng)檢測(cè)手段可分為自動(dòng)檢測(cè)和手動(dòng)檢測(cè)，能夠?qū)QL注入漏洞、XSS腳本攻擊漏洞、敏感目錄及第三方編輯器漏洞進(jìn)行檢測(cè)，并能夠基于SQL注入漏洞進(jìn)一步對(duì)數(shù)據(jù)庫(kù)信息進(jìn)行獲取，檢測(cè)過(guò)程中會(huì)動(dòng)態(tài)向測(cè)試人員提供檢測(cè)信息并在檢測(cè)結(jié)束后顯示測(cè)試結(jié)果。該系統(tǒng)通過(guò)模擬黑客的攻擊行為對(duì)網(wǎng)站W(wǎng)eb應(yīng)用進(jìn)行滲透測(cè)試，發(fā)現(xiàn)網(wǎng)站運(yùn)行過(guò)程中存在的漏洞，為網(wǎng)站管理人員或滲透測(cè)試工作人員提供可靠、有效的安全弱點(diǎn)信息。系統(tǒng)測(cè)試結(jié)果表明，系統(tǒng)運(yùn)行良好，可以有效地檢測(cè)We