Web掃描器是提高網(wǎng)站安全性,讓滲透效率快速提升不可或缺的一部分,現(xiàn)有的優(yōu)秀掃描器的掃描功能都很強(qiáng)大,但是代理功能卻并不強(qiáng)。本文開發(fā)了一款基于Python的自動(dòng)代理Web漏洞掃描器,利用爬蟲和asyncio技術(shù)維護(hù)一個(gè)動(dòng)態(tài)的免費(fèi)代理池,通過隨機(jī)調(diào)用代理池里的有效代理進(jìn)行Web掃描。因?yàn)闇y(cè)試全程可以使用隨機(jī)代理,所以即使出現(xiàn)多個(gè)代理被安全設(shè)備發(fā)現(xiàn)的情況下也能繼續(xù)進(jìn)行有效的測(cè)試,這將大大提高授權(quán)情況下的黑盒測(cè)試下的效率。同時(shí)爬蟲還使用了多進(jìn)程,布爾去重,廣度優(yōu)先爬取等技術(shù)進(jìn)一步減少測(cè)試所需要的時(shí)間。 

【文章來源】：科技視界. 2020,(17)

【文章頁(yè)數(shù)】：5 頁(yè)

【部分圖文】：

軟件需求分析

Sql注入的自動(dòng)化判斷難在如何獲取注入點(diǎn)，本掃描器通過提煉網(wǎng)頁(yè)中的form表單并進(jìn)行自動(dòng)填充提交在獲取對(duì)應(yīng)的url從而獲得可能存在注入點(diǎn)的url。Ur測(cè)試時(shí)craw＿url()函數(shù)對(duì)爬取的頁(yè)面進(jìn)行form表單的自動(dòng)填充并拼接上我們所測(cè)試的多個(gè)playload。＿craw(函數(shù)從隊(duì)列中獲取要測(cè)試的url，先提交一個(gè)含有單個(gè)單引號(hào)的playload的url看是否存在報(bào)錯(cuò)，如果不報(bào)錯(cuò)則說明可能使用了雙引號(hào)，則進(jìn)行雙引號(hào)的字符型Sq注入測(cè)試和搜索型的Sql注入測(cè)試；如果報(bào)錯(cuò)則再提交一個(gè)含有單個(gè)雙引號(hào)playload的url看是否報(bào)錯(cuò)，如果在報(bào)錯(cuò)則可能是數(shù)字型的Sql注入漏洞，則利用對(duì)應(yīng)的playload進(jìn)行測(cè)試，如果提交一個(gè)含有單個(gè)雙引號(hào)playload的url不報(bào)錯(cuò)則可能是單引號(hào)的字符型Sql注入測(cè)試和搜索型的Sql注入；如果按對(duì)應(yīng)的playload測(cè)試后不報(bào)錯(cuò)，則可能含有Sql注入漏洞，將對(duì)應(yīng)的url存儲(chǔ)起來然后判斷是否測(cè)試完所有的url，有則取出下一個(gè)url，沒有模塊結(jié)束。Sql檢測(cè)模塊流程圖如圖4。圖3 爬蟲模塊流程圖

爬蟲模塊流程圖

【參考文獻(xiàn)】：
期刊論文
[1]基于Web滲透測(cè)試的SQL注入研究[J]. 李鑫.  信息與電腦(理論版). 2020(03)
[2]正則表達(dá)式在python爬蟲中的應(yīng)用[J]. 苻玲美.  電腦知識(shí)與技術(shù). 2019(25)
[3]面向網(wǎng)絡(luò)爬蟲的高可用動(dòng)態(tài)池系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 王佳鵬,徐海蛟,許培宇,何佳蕾,林冠成.  福建電腦. 2019(06)
[4]中國(guó)特色治網(wǎng)之道:理念與成就——十八大以來我國(guó)網(wǎng)絡(luò)空間治理的回顧與思考[J]. 張?zhí)N昭.  中國(guó)行政管理. 2019(01)
[5]面向Web應(yīng)用的漏洞掃描器的設(shè)計(jì)與實(shí)現(xiàn)[J]. 牛詠梅.  南陽(yáng)理工學(xué)院學(xué)報(bào). 2018(06)
[6]基于Python的網(wǎng)絡(luò)爬蟲技術(shù)的關(guān)鍵性問題探索[J]. 唐琳,董依萌,何天宇.  電子世界. 2018(14)
[7]以法制保障網(wǎng)絡(luò)空間安全構(gòu)筑網(wǎng)絡(luò)強(qiáng)國(guó)——《網(wǎng)絡(luò)安全法》和《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》解讀[J]. 鄧若伊,余夢(mèng)瓏,丁藝,董天策,何哲,黃璜,劉鵬飛,劉宇軒,巢乃鵬,馬亮,孫宇,王國(guó)華,謝曉專,曾潤(rùn)喜,陳燕超,張會(huì)平,張效羽.  電子政務(wù). 2017(02)

碩士論文
[1]基于動(dòng)態(tài)分析的XSS漏洞檢測(cè)方法研究[D]. 谷家騰.北京郵電大學(xué) 2019



本文編號(hào)：3012249