Web應用安全漏洞掃描技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)飛速發(fā)展，Web應用越來越普及，蘊含越來越多的經(jīng)濟價值，但其安全性沒有得到足夠的重視，Web應用逐漸成為攻擊者的主要目標，存在嚴重的安全隱患。為了保障Web應用的安全性，找到合適的Web應用安全漏洞檢測方法刻不容緩。傳統(tǒng)的人工檢測漏洞方式費時費力，效率低效果差，而且隨著Web應用規(guī)模變大、軟件開發(fā)周期變短變得更加不可行，必須借助自動化漏洞掃描工具，才能有效地提升Web應用的安全性。
　　針對上述問題，本文對Web應用安全

2、漏洞掃描相關(guān)技術(shù)進行研究，首先闡述漏洞掃描相關(guān)概念，之后分析具體的掃描技術(shù)，并著重描述了動態(tài)掃描技術(shù)的執(zhí)行過程。之后介紹了Web應用安全漏洞掃描工具的評估方法，為本文的主要工作做了理論鋪墊。本文主要貢獻如下:
　　第一，目前業(yè)界流行的Web應用安全漏洞掃描工具很多，需要一個橫向評估，為漏洞檢測人員選擇適合自己應用場景下的掃描工具提供參考。本文根據(jù)Web應用安全漏洞掃描工具評估標準及基準測試方法，選擇合適的Web應用wavsep，設

3、計并實施實驗，從漏洞覆蓋率、誤報率、功能支持、性能、易用性等多個角度全方位地對時下流行的七款Web應用安全漏洞掃描工具做出評估，為Web應用安全防范工作提供全面的參考。
　　第二，利用流行的漏洞掃描工具SkipFish對Web系統(tǒng)X做了漏洞掃描，探索漏洞掃描工具的正確的使用方法以及掃描結(jié)果去偽存真的分析方法，并針對不同類型的漏洞給出修復意見，旨在分享漏洞掃描工具應用及掃描結(jié)果分析的經(jīng)驗。
　　第三，再好的漏洞掃描工具也是不完

4、美的，就拿筆者比較熟悉的SkipFish來講，它雖然是一款優(yōu)秀的Web應用安全漏洞掃描工具，仍然有很多細節(jié)值得商榷和改進。在以上對SkipFish深入使用的基礎上，本文深入分析SkipFish的架構(gòu)和掃描原理，特別對SQL注入漏洞掃描機制做了細致分析，結(jié)合SkipFish掃描wavsep報告找到SkipFish中的不足之處，添加了后臺數(shù)據(jù)庫判斷、基于時間延遲的攻擊請求與響應分析過程，并進行二次開發(fā)。通過實驗驗證，改進后的SkipFish