【摘要】：從2011年開始的“十二五”規(guī)劃已于2015年收官,網(wǎng)絡(luò)在我國大量普及,已有6.88億網(wǎng)民連入互聯(lián)網(wǎng),成為互聯(lián)網(wǎng)大軍的一員�；ヂ�(lián)網(wǎng)已融入人民的生活。但隨之而來的互聯(lián)網(wǎng)安全問題也愈演愈烈,信息安全愈發(fā)受到大眾關(guān)注。國家也針對網(wǎng)絡(luò)空間開始大力推行法制化。雖然網(wǎng)絡(luò)安全防護(hù)水平有所提升,但各種針對web系統(tǒng)的網(wǎng)絡(luò)安全事件依舊層出不窮,并多次出現(xiàn)由信息泄露所引發(fā)的精準(zhǔn)網(wǎng)絡(luò)詐騙和勒索事件。如何提升web系統(tǒng)的安全防護(hù),是十分值得探討的問題。網(wǎng)絡(luò)技術(shù)多種多樣,針對web系統(tǒng)的攻擊亦多種多樣,但傳統(tǒng)的web系統(tǒng)安全工具主要集中在漏洞掃描,通過對發(fā)現(xiàn)的漏洞進(jìn)行修復(fù)來提升安全性,但是并未縱觀web系統(tǒng)全局安全。而且目前很多漏洞器基于C/S架構(gòu),通常情況下,并不易于部署和使用,且對新漏洞更新不及時(shí)。雖有商用軟件支持較好,但是卻很昂貴,并不適用于眾多中小型企業(yè)對小型網(wǎng)站的安全保障工作。針對上述問題,本文分析并研究了 web系統(tǒng)的基本安全信息搜集和漏洞信息搜集及其關(guān)鍵技術(shù),并設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)高可用性、高擴(kuò)展性的面向web系統(tǒng)的安全信息搜集平臺。此平臺可搜集web系統(tǒng)的全局安全信息,協(xié)助管理員評估網(wǎng)站安全風(fēng)險(xiǎn)。主要工作如下:1.對web系統(tǒng)的安全信息搜集方式進(jìn)行調(diào)研,從web系統(tǒng)安全入手,對web系統(tǒng)的基本的安全信息進(jìn)行分析,完成對面向web系統(tǒng)的安全信息搜集平臺進(jìn)行可行性分析和需求分析。2.對web系統(tǒng)的主要安全漏洞進(jìn)行研究,分析了不同web系統(tǒng)漏洞特性和漏洞掃描技術(shù),并深入分析了 SQL注入和XSS漏洞的形成原理、漏洞利用、漏洞危害、防御方法等。3.對web服務(wù)器端的過濾機(jī)制進(jìn)行研究,并分析與其對應(yīng)的反過濾規(guī)則集。并使用此方法對XSS漏洞測試用例庫進(jìn)行拓展、優(yōu)化,從而提升XSS漏洞的掃描覆蓋率。4.最后對安全信息搜集平臺進(jìn)行邏輯設(shè)計(jì),并對平臺的不同模塊進(jìn)行詳細(xì)設(shè)計(jì)并實(shí)現(xiàn),同時(shí)完成對平臺進(jìn)行信息搜集、漏洞掃描等方面的測試工作,驗(yàn)證平臺的可用性與有效性。并使用本平臺對大量網(wǎng)站進(jìn)行基本安全信息搜集,完成對應(yīng)信息統(tǒng)計(jì)、分析工作。
[Abstract]:The 12th Five-Year Plan, which began in 2011, ended in 2015. The Internet has been widely used in China, and 688 million netizens have joined the Internet and become a member of the Internet army. The Internet has been integrated into people's lives. However, the problem of Internet security has become more and more serious, and information security has become more and more concerned by the public. The country also aims at cyberspace to begin energetically to carry out legalization. Although the level of network security has been improved, a variety of network security incidents against web system are still emerging in endlessly, and there are many accurate network fraud and extortion incidents caused by information disclosure. How to improve the security protection of web system is a problem worth discussing. There are a variety of network technologies and attacks against web systems, but the traditional web system security tools mainly focus on vulnerability scanning, through the detection of vulnerabilities to improve the security, but do not look at the overall security of web system. At present, many vulnerabilities are based on C / S architecture, which is not easy to deploy and use, and is not timely to update new vulnerabilities. Although commercial software support is good, but it is very expensive, not suitable for many small and medium-sized enterprises to small site security. Aiming at the above problems, this paper analyzes and studies the basic security information collection, vulnerability information collection and their key technologies of web system, and designs and implements a high availability and high scalability security information collection platform for web system. This platform can collect the global security information of web system and help administrators to assess the security risks. The main work is as follows: 1. This paper investigates the security information collection method of web system, starts with the security of web system, analyzes the basic security information of web system, and completes the feasibility analysis and requirement analysis of the security information collection platform for web system. 2. The main security vulnerabilities of web system are studied, the vulnerability characteristics and vulnerability scanning techniques of different web systems are analyzed, and the forming principle, vulnerability exploitation, vulnerability harm and defense methods of SQL injection and XSS vulnerability are analyzed in depth. 3. The filtering mechanism of web server is studied, and the corresponding backfiltering rule set is analyzed. This method is used to extend and optimize the XSS vulnerability test case library, so as to improve the scanning coverage of XSS vulnerability. 4. 4. Finally, the logical design of the security information collection platform is carried out, and the different modules of the platform are designed and implemented in detail. At the same time, the platform information collection, vulnerability scanning and other aspects of the testing work are completed to verify the availability and effectiveness of the platform. And use this platform to collect basic security information of a large number of websites, complete the corresponding information statistics, analysis work.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 關(guān)學(xué)智;論信息搜集的操作方法[J];遼寧青年管理干部學(xué)院學(xué)報(bào);2000年01期

2 邵嬈;淺析熱點(diǎn)信息的報(bào)送問題[J];信息化建設(shè);2000年12期

3 關(guān)學(xué)智;信息搜集原則淺述[J];遼寧經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào);2000年01期

4 嚴(yán)亞蘭;因特網(wǎng)上信息搜集初探[J];現(xiàn)代圖書情報(bào)技術(shù);2001年01期

5 姜禾;陳方;楊寧;;網(wǎng)絡(luò)信息搜集技能探析[J];現(xiàn)代情報(bào);2009年06期

6 徐偉;;論“選擇-進(jìn)入”機(jī)制在網(wǎng)絡(luò)個(gè)人信息搜集利益平衡中的價(jià)值[J];長春市委黨校學(xué)報(bào);2009年04期

7 王天寧;談?wù)剤D書市場的信息搜集[J];大學(xué)出版;1997年02期

8 范安民;;初中信息科技教學(xué)中培養(yǎng)學(xué)生搜集、處理信息的能力[J];現(xiàn)代教學(xué);2006年12期

9 柴維國;信息商品化對信息公平的影響[J];大學(xué)圖書情報(bào)學(xué)刊;2005年04期

10 韋希佳;科技信息的搜集原則及途徑[J];機(jī)械工業(yè)標(biāo)準(zhǔn)化與質(zhì)量;2002年05期

相關(guān)會(huì)議論文 前10條

1 熊偉;;信息搜集若干理論問題概述[A];向數(shù)字化轉(zhuǎn)型的圖書館工作[C];2004年

2 彭崇芬;;工商企業(yè)開拓市場的信息搜集與研究[A];高校信息文獻(xiàn)開發(fā)與利用——全國高校信息資料第6次理論研討會(huì)論文集[C];1994年

3 劉正濤;毛宇光;應(yīng)毅;;基于Web服務(wù)的分布式Web應(yīng)用框架研究[A];第一屆全國Web信息系統(tǒng)及其應(yīng)用會(huì)議（WISA2004）論文集[C];2004年

4 戴琦;;Web上的數(shù)據(jù)挖掘[A];全國計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用年會(huì)論文集（2001）[C];2001年

5 王衛(wèi);;基于Web的數(shù)據(jù)庫應(yīng)用[A];第十八屆中國（天津）’2004IT、網(wǎng)絡(luò)、信息技術(shù)、電子、儀器儀表創(chuàng)新學(xué)術(shù)會(huì)議論文集[C];2004年

6 張默;廖湖聲;杜金蓮;;基于Web服務(wù)的開放式地理信息系統(tǒng)的研究[A];2006年全國開放式分布與并行計(jì)算機(jī)學(xué)術(shù)會(huì)議論文集（三）[C];2006年

7 鄭菊艷;續(xù)愛民;;基于WEB模式的科研項(xiàng)目管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];第十四屆中國科協(xié)年會(huì)第5分會(huì)場：綠色船舶與海洋裝備創(chuàng)新發(fā)展及產(chǎn)業(yè)化論壇論文集[C];2012年

8 鄭菊艷;續(xù)愛民;;基于WEB模式的科研項(xiàng)目管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];2012年MIS/S&A學(xué)術(shù)交流會(huì)議論文集[C];2012年

9 李勤;;基于WEB的計(jì)算機(jī)模擬病例考試系統(tǒng)在全科醫(yī)師培訓(xùn)實(shí)踐能力測試中應(yīng)用研究[A];2012年浙江省全科醫(yī)學(xué)學(xué)術(shù)年會(huì)論文匯編[C];2012年

10 黃海林;孫向陽;;基于Web的大學(xué)物理試題管理系統(tǒng)的設(shè)計(jì)[A];湖北省物理學(xué)會(huì)、武漢物理學(xué)會(huì)成立70周年慶典暨2002年學(xué)術(shù)年會(huì)論文集[C];2002年

相關(guān)重要報(bào)紙文章 前10條

1 劉旭 趙利;培育信息創(chuàng)新能力[N];中國國防報(bào);2001年

2 鐘志賢;終身學(xué)習(xí)需培養(yǎng)八大信息素養(yǎng)[N];遼寧日報(bào);2001年

3 左新發(fā);與時(shí)俱進(jìn) 再創(chuàng)輝煌[N];中國信息報(bào);2002年

4 江西師范大學(xué)教學(xué)論研究中心主任 鐘志賢;信息素養(yǎng)：培養(yǎng)你八大能力[N];中國教育報(bào);2001年

5 北京博升通管理咨詢公司 謝旭;怎樣從企業(yè)內(nèi)部搜集客戶的信息[N];公共商務(wù)信息導(dǎo)報(bào);2006年

6 謝旭;怎樣從企業(yè)內(nèi)部搜集客戶的信息[N];公共商務(wù)信息導(dǎo)報(bào);2006年

7 本報(bào)記者 李國敏;信息化：如何與企業(yè)發(fā)展比翼雙飛？[N];科技日報(bào);2005年

8 北京博升通管理咨詢公司 謝旭;客戶信用信息搜集方法[N];公共商務(wù)信息導(dǎo)報(bào);2006年

9 本報(bào)記者 劉繼安;準(zhǔn)備好了嗎？WEB教師[N];中國教育報(bào);2001年

10 張承東;Web智能考核廣告[N];網(wǎng)絡(luò)世界;2009年

相關(guān)博士學(xué)位論文 前10條

1 張利風(fēng);投資和融資中的激勵(lì)問題[D];浙江大學(xué);2006年

2 萬志遠(yuǎn);Web應(yīng)用程序漏洞檢測關(guān)鍵技術(shù)研究[D];浙江大學(xué);2014年

3 黃治虎;基于網(wǎng)頁信息和圖像特征的Web圖像檢索研究[D];重慶大學(xué);2015年

4 張璞;Web評論文本情感分類方法研究[D];重慶大學(xué);2015年

5 劉維東;Web短文本知識關(guān)聯(lián)模型及其語義連貫計(jì)算方法[D];上海大學(xué);2016年

6 孫慧峰;基于協(xié)同過濾的個(gè)性化Web推薦[D];北京郵電大學(xué);2012年

7 何儒漢;Web圖像的多模融合檢索研究[D];華中科技大學(xué);2007年

8 張建武;面向Web應(yīng)用的安全評測技術(shù)研究[D];北京郵電大學(xué);2012年

9 龍慧云;基于進(jìn)程代數(shù)的Web服務(wù)數(shù)據(jù)和組合的形式化方法研究[D];貴州大學(xué);2009年

10 孫濤;面向市場情報(bào)分析的Web實(shí)體事件融合問題研究[D];山東大學(xué);2014年

相關(guān)碩士學(xué)位論文 前10條

1 王俊;面向web系統(tǒng)的安全信息搜集平臺的設(shè)計(jì)與實(shí)現(xiàn)[D];北京郵電大學(xué);2017年

2 葉劍鋒;典型客戶能效信息搜集與分析系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2016年

3 陳銘;藥品監(jiān)管執(zhí)法中違法信息搜集問題研究[D];吉林大學(xué);2014年

4 李林蓉;基于Restful和OSGI的Web應(yīng)用轉(zhuǎn)換容器的研究與實(shí)現(xiàn)[D];華南理工大學(xué);2015年

5 陳彬彬;基于QoS隨機(jī)性的Web服務(wù)質(zhì)量偏離監(jiān)測方法研究與實(shí)現(xiàn)[D];昆明理工大學(xué);2015年

6 徐超;機(jī)頂盒中基于Web交互方式的設(shè)計(jì)與實(shí)現(xiàn)[D];西南交通大學(xué);2015年

7 張銳;基于Web技術(shù)下的出差管理系統(tǒng)[D];西安工業(yè)大學(xué);2015年

8 游維;基于Rest的Web業(yè)務(wù)系統(tǒng)日志采集與分析系統(tǒng)的研究與開發(fā)[D];山東大學(xué);2015年

9 陶瑩昌;基于Web的校園二手圖書拍賣平臺的設(shè)計(jì)與實(shí)現(xiàn)[D];西華師范大學(xué);2015年

10 周贏;基于WEB的績效管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2015年

，

本文編號：2298509