發(fā)布時間：2017-09-10 03:21

  本文關(guān)鍵詞：Web應(yīng)用安全漏洞掃描技術(shù)研究

  更多相關(guān)文章： Web應(yīng)用 安全漏洞掃描 動態(tài)掃描 SkipFish SQL注入

【摘要】：隨著互聯(lián)網(wǎng)飛速發(fā)展,Web應(yīng)用越來越普及,蘊含越來越多的經(jīng)濟價值,但其安全性沒有得到足夠的重視,Web應(yīng)用逐漸成為攻擊者的主要目標(biāo),存在嚴(yán)重的安全隱患。為了保障Web應(yīng)用的安全性,找到合適的Web應(yīng)用安全漏洞檢測方法刻不容緩。傳統(tǒng)的人工檢測漏洞方式費時費力,效率低效果差,而且隨著Web應(yīng)用規(guī)模變大、軟件開發(fā)周期變短變得更加不可行,必須借助自動化漏洞掃描工具,才能有效地提升Web應(yīng)用的安全性。針對上述問題,本文對Web應(yīng)用安全漏洞掃描相關(guān)技術(shù)進行研究,首先闡述漏洞掃描相關(guān)概念,之后分析具體的掃描技術(shù),并著重描述了動態(tài)掃描技術(shù)的執(zhí)行過程。之后介紹了Web應(yīng)用安全漏洞掃描工具的評估方法,為本文的主要工作做了理論鋪墊。本文主要貢獻如下：第一,目前業(yè)界流行的Web應(yīng)用安全漏洞掃描工具很多,需要一個橫向評估,為漏洞檢測人員選擇適合自己應(yīng)用場景下的掃描工具提供參考。本文根據(jù)Web應(yīng)用安全漏洞掃描工具評估標(biāo)準(zhǔn)及基準(zhǔn)測試方法,選擇合適的Web應(yīng)用wavsep,設(shè)計并實施實驗,從漏洞覆蓋率、誤報率、功能支持、性能、易用性等多個角度全方位地對時下流行的七款Web應(yīng)用安全漏洞掃描工具做出評估,為Web應(yīng)用安全防范工作提供全面的參考。第二,利用流行的漏洞掃描工具SkipFish對Web系統(tǒng)X做了漏洞掃描,探索漏洞掃描工具的正確的使用方法以及掃描結(jié)果去偽存真的分析方法,并針對不同類型的漏洞給出修復(fù)意見,旨在分享漏洞掃描工具應(yīng)用及掃描結(jié)果分析的經(jīng)驗。第三,再好的漏洞掃描工具也是不完美的,就拿筆者比較熟悉的SkipFish來講,它雖然是一款優(yōu)秀的Web應(yīng)用安全漏洞掃描工具,仍然有很多細節(jié)值得商榷和改進。在以上對SkipFish深入使用的基礎(chǔ)上,本文深入分析SkipFish的架構(gòu)和掃描原理,特別對SQL注入漏洞掃描機制做了細致分析,結(jié)合SkipFish掃描wavsep報告找到SkipFish中的不足之處,添加了后臺數(shù)據(jù)庫判斷、基于時間延遲的攻擊請求與響應(yīng)分析過程,并進行二次開發(fā)。通過實驗驗證,改進后的SkipFish對于SQL注入漏洞的掃描覆蓋率,的確得到了顯著提升。
【關(guān)鍵詞】：Web應(yīng)用 安全漏洞掃描 動態(tài)掃描 SkipFish SQL注入
【學(xué)位授予單位】：浙江大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要3-5
• Abstract5-13
• 第1章 緒論13-17
• 1.1 課題背景與研究意義13-15
• 1.2 研究內(nèi)容與論文結(jié)構(gòu)15-17
• 1.2.1 研究內(nèi)容15
• 1.2.2 論文結(jié)構(gòu)15-17
• 第2章 Web應(yīng)用安全漏洞掃描綜述17-30
• 2.1 Web應(yīng)用安全漏洞綜述17-22
• 2.1.1 Web應(yīng)用安全漏洞概念17
• 2.1.2 Web應(yīng)用安全漏洞分類17-20
• 2.1.3 Web應(yīng)用安全漏洞產(chǎn)生原因20-21
• 2.1.4 Web應(yīng)用安全漏洞風(fēng)險評估21-22
• 2.2 Web應(yīng)用安全漏洞掃描技術(shù)分析22-26
• 2.2.1 靜態(tài)掃描技術(shù)22-23
• 2.2.2 動態(tài)掃描技術(shù)23-26
• 2.3 Web應(yīng)用安全漏洞掃描工具評估研究26-29
• 2.3.1 Web應(yīng)用安全漏洞掃描工具評價標(biāo)準(zhǔn)26-27
• 2.3.2 Web應(yīng)用安全漏洞掃描工具基準(zhǔn)測試方法27-29
• 2.4 本章小結(jié)29-30
• 第3章 Web應(yīng)用安全漏洞掃描工具評估30-39
• 3.1 選型30-32
• 3.1.1 掃描對象選型30-31
• 3.1.2 掃描工具選型31-32
• 3.2 實驗過程32-33
• 3.2.1 實驗環(huán)境32
• 3.2.2 測試步驟32-33
• 3.3 實驗結(jié)果分析與評估33-37
• 3.4 結(jié)論37-38
• 3.5 本章小結(jié)38-39
• 第4章 用SkipFish掃描Web應(yīng)用安全漏洞39-49
• 4.1 SkipFish39
• 4.2 系統(tǒng)X39-43
• 4.2.1 系統(tǒng)背景及架構(gòu)39-40
• 4.2.2 X-GUI模塊介紹40-43
• 4.3 用SkipFish掃描X-GUI43-47
• 4.3.1 掃描環(huán)境43
• 4.3.2 掃描步驟43-44
• 4.3.3 掃描結(jié)果與分析44-47
• 4.4 X-GUI改進意見47-48
• 4.4.1 SQL注入漏洞47-48
• 4.4.2 不安全的直接對象引用48
• 4.4.3 跨站腳本攻擊48
• 4.5 本章小結(jié)48-49
• 第5章 SkipFish研究與改進49-73
• 5.1 SkipFish架構(gòu)分析49-55
• 5.1.1 HTTP模塊50-52
• 5.1.2 Crawler模塊52-53
• 5.1.3 Analysis模塊53-54
• 5.1.4 Check模塊54
• 5.1.5 Report模塊54-55
• 5.2 SkipFish掃描SQL注入漏洞分析55-61
• 5.2.1 請求構(gòu)造58
• 5.2.2 響應(yīng)分析58-61
• 5.3 SkipFish改進方案設(shè)計61-68
• 5.3.1 后臺數(shù)據(jù)庫類型判斷62-65
• 5.3.2 基于時間技術(shù)的延遲請求生成65-67
• 5.3.3 時間延遲檢驗67-68
• 5.4 SkipFish改進方案實現(xiàn)68-71
• 5.5 實驗71-72
• 5.6 本章小結(jié)72-73
• 第6章 總結(jié)與展望73-75
• 6.1 本文工作總結(jié)73-74
• 6.2 未來工作展望74-75
• 參考文獻75-77
• 攻讀碩士學(xué)位期間主要的研究成果77-78
• 致謝78-79

【相似文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 ;啟明星辰推出新一代漏洞掃描產(chǎn)品[J];信息網(wǎng)絡(luò)安全;2003年11期

2 盧錚;分布式漏洞掃描技術(shù)與系統(tǒng)[J];信息網(wǎng)絡(luò)安全;2005年09期

3 趙燕;;漏洞掃描技術(shù)淺析[J];內(nèi)蒙古水利;2011年03期

4 朱健華;;淺析信息化建設(shè)中的安全漏洞掃描技術(shù)[J];中國科技投資;2012年27期

5 吳宏勝;淺析分布式漏洞掃描系統(tǒng)[J];信息網(wǎng)絡(luò)安全;2005年04期

6 段丹青;陳松喬;楊衛(wèi)平;;融合漏洞掃描的入侵檢測系統(tǒng)模型的研究[J];計算機技術(shù)與發(fā)展;2006年05期

7 陳東紅;王震宇;鄧承志;;分布式漏洞掃描系統(tǒng)的設(shè)計[J];信息工程大學(xué)學(xué)報;2006年02期

8 夏潔武;郭晨;;一個基于漏洞掃描的安全中間件架構(gòu)設(shè)計[J];微計算機信息;2007年12期

9 段丹青;陳松喬;楊衛(wèi)平;;漏洞掃描與入侵檢測聯(lián)動系統(tǒng)的研究[J];計算機應(yīng)用研究;2007年07期

10 李為;;談系統(tǒng)漏洞掃描[J];天津職業(yè)院校聯(lián)合學(xué)報;2007年05期

中國重要會議論文全文數(shù)據(jù)庫 前10條

1 于磊;屈樊;吳禮發(fā);;漏洞掃描技術(shù)研究[A];2007通信理論與技術(shù)新發(fā)展——第十二屆全國青年通信學(xué)術(shù)會議論文集（上冊）[C];2007年

2 龔小剛;;網(wǎng)絡(luò)漏洞掃描技術(shù)研究[A];中國電子學(xué)會第十七屆信息論學(xué)術(shù)年會論文集[C];2010年

3 王琦;;漏洞掃描等工具在安全評估中的作用[A];中國信息協(xié)會信息安全專業(yè)委員會年會文集[C];2004年

4 李鋒;馮珊;魏瑩;周凱波;;基于移動智能體技術(shù)的漏洞掃描系統(tǒng)模型[A];西部開發(fā)與系統(tǒng)工程——中國系統(tǒng)工程學(xué)會第12屆年會論文集[C];2002年

5 李建安;谷利澤;楊義先;;漏洞掃描與補丁管理系統(tǒng)的設(shè)計與實現(xiàn)[A];第一屆中國高校通信類院系學(xué)術(shù)研討會論文集[C];2007年

6 李鋒;陶蘭;;天成網(wǎng)絡(luò)安全衛(wèi)士系統(tǒng)的設(shè)計和開發(fā)[A];Java技術(shù)及應(yīng)用的進展——第八屆中國Java技術(shù)及應(yīng)用交流大會文集[C];2005年

7 王佳生;;政務(wù)信息網(wǎng)的安全保障體系[A];黑龍江省通信學(xué)會學(xué)術(shù)年會論文集[C];2005年

8 范淵;;Web應(yīng)用風(fēng)險掃描的研究與應(yīng)用[A];全國計算機安全學(xué)術(shù)交流會論文集·第二十五卷[C];2010年

9 彭亮;卓新建;黃瑋;范文慶;;基于網(wǎng)絡(luò)爬蟲的XSS漏洞掃描系統(tǒng)的設(shè)計與實現(xiàn)[A];第十三屆中國科協(xié)年會第11分會場-中國智慧城市論壇論文集[C];2011年

10 孟江橋;李愛平;;基于Metasploit加載Nessus的漏洞掃描技術(shù)實現(xiàn)[A];第27次全國計算機安全學(xué)術(shù)交流會論文集[C];2012年

中國重要報紙全文數(shù)據(jù)庫 前10條

1 楊亮;當(dāng)前網(wǎng)絡(luò)漏洞掃描產(chǎn)品市場初探[N];大眾科技報;2005年

2 羅韓琦;網(wǎng)絡(luò)漏洞掃描產(chǎn)品市場前景看好[N];中國高新技術(shù)產(chǎn)業(yè)導(dǎo)報;2005年

3 羅韓琦;網(wǎng)絡(luò)漏洞掃描市場 技術(shù)與服務(wù)并重[N];中國高新技術(shù)產(chǎn)業(yè)導(dǎo)報;2005年

4 ;啟明星辰推出分布式漏洞掃描系統(tǒng)[N];中國計算機報;2003年

5 ;為彌補系統(tǒng)漏洞出力[N];網(wǎng)絡(luò)世界;2004年

6 劉金光;使用漏洞掃描工具有效防范蠕蟲病毒[N];中國電腦教育報;2004年

7 ;金睛火眼尋蟻穴[N];網(wǎng)絡(luò)世界;2005年

8 楊金龍;福建榕基提升“堵漏”新標(biāo)準(zhǔn)[N];中國企業(yè)報;2005年

9 齊文泉 鐘山 楊冀龍;查找弱點 防患未然[N];計算機世界;2005年

10 ;首創(chuàng)網(wǎng)絡(luò)出臺新舉措[N];科技日報;2001年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前10條

1 占善華;分布式漏洞掃描模型研究與應(yīng)用[D];廣東工業(yè)大學(xué);2013年

2 吳倩倩;綜合型漏洞掃描系統(tǒng)的研究與設(shè)計[D];華北電力大學(xué);2015年

3 張楠;Web應(yīng)用安全漏洞掃描技術(shù)研究[D];浙江大學(xué);2015年

4 莫闖;漏洞掃描技術(shù)研究[D];貴州大學(xué);2006年

5 閆美鳳;策略驅(qū)動的可擴展網(wǎng)絡(luò)漏洞掃描研究[D];太原理工大學(xué);2006年

6 李偉;基于嵌入式系統(tǒng)的漏洞掃描系統(tǒng)[D];福州大學(xué);2003年

7 劉云皓;基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)研究與系統(tǒng)實現(xiàn)[D];西北工業(yè)大學(xué);2003年

8 沈偉鋒;面向攻擊的網(wǎng)絡(luò)漏洞掃描技術(shù)研究及系統(tǒng)實現(xiàn)[D];西北工業(yè)大學(xué);2004年

9 梁志恒;基于插件技術(shù)的漏洞掃描系統(tǒng)設(shè)計與實現(xiàn)[D];湖南大學(xué);2007年

10 王良;基于插件技術(shù)的漏洞掃描系統(tǒng)設(shè)計與應(yīng)用[D];上海交通大學(xué);2012年

，

本文編號：824430