資源描述:
《基于網(wǎng)絡(luò)爬蟲(chóng)的web應(yīng)用程序漏洞掃描器的研究與實(shí)現(xiàn)》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、分類號(hào)UDC注l密級(jí)j8l《059學(xué)位論文基于網(wǎng)絡(luò)爬蟲(chóng)的Web應(yīng)用程序漏洞掃描器的研究與實(shí)現(xiàn)(題名和副題名)楊新英(作者姓名).指導(dǎo)教師娃名湮浩副教授電壬科撞太堂廑壑(職務(wù)、職稱、學(xué)位、單位名稱及地址)申請(qǐng)專業(yè)學(xué)位級(jí)別亟±專業(yè)名稱計(jì)算機(jī)應(yīng)用技術(shù)論文提交日期2010.3論文答辯日期2010.5學(xué)位授予單位和日期電壬抖撞太堂答辯委員會(huì)主席一評(píng)閱人2010年y月蚪日注1:注明《國(guó)際十進(jìn)分類法UDC》的類號(hào)?!?,,●^£文,}Ki.■Ii,^獨(dú)創(chuàng)性聲明£I、本人聲明所呈交的學(xué)位論文是本人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工芒作及取得的研究成果
2、。據(jù)我所知,除了文中特別加以標(biāo)注和致謝的地方外,論文中不包含其他人已經(jīng)發(fā)表或撰寫(xiě)過(guò)的研究成果,也不包含為獲得電子科技大學(xué)或其它教育機(jī)構(gòu)的學(xué)位或證書(shū)而使用過(guò)的材料。與我一同工作的同志對(duì)本研究所做的任何貢獻(xiàn)均已在論文中作了明確的說(shuō)明并表示謝意。簽名:趣盔緝整日期:弘p年歹月砷日論文使用授權(quán)本學(xué)位論文作者完全了解電子科技大學(xué)有關(guān)保留、使用學(xué)位論文的規(guī)定,有權(quán)保留并向國(guó)家有關(guān)部門(mén)或機(jī)構(gòu)送交論文的復(fù)印件和磁噓,允許論文被查閱和借閱。本人授權(quán)電子科技大學(xué)可以將學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索,可以采用影印、縮印或掃描等復(fù)
3、制手段保存、匯編學(xué)位論文。(保密的學(xué)位論文在解密后應(yīng)遵守此規(guī)定)簽名:塑垂芻楚導(dǎo)師簽名:日期:,≯D/o年r月≯緲日IJW-I;、芒AJ摘要隨著計(jì)算機(jī)網(wǎng)絡(luò)和通訊技術(shù)的快速發(fā)展,利用開(kāi)放的網(wǎng)絡(luò)環(huán)境進(jìn)行全球通信已成為時(shí)代發(fā)展的趨勢(shì)。Web應(yīng)用越來(lái)越廣泛,網(wǎng)站建設(shè)和網(wǎng)頁(yè)設(shè)計(jì)的需求越來(lái)越大,但也容易受到網(wǎng)絡(luò)安全問(wèn)題的威脅,引起了普遍關(guān)注。所以,本文針對(duì)Web應(yīng)用程序漏洞的特征,研究設(shè)計(jì)掃描器,研究實(shí)現(xiàn)關(guān)鍵技術(shù),使漏洞檢測(cè)更加準(zhǔn)確、高效。對(duì)于一個(gè)Web應(yīng)用程序漏洞掃描器來(lái)說(shuō),一個(gè)優(yōu)秀的掃描設(shè)計(jì)方案將會(huì)對(duì)各個(gè)關(guān)鍵技術(shù)的設(shè)計(jì)、測(cè)試驗(yàn)證和
4、實(shí)現(xiàn)起到關(guān)鍵作用,其設(shè)計(jì)的好壞直接關(guān)系到最后整個(gè)系統(tǒng)的成敗。本文工作重點(diǎn)就在于,針對(duì)w曲應(yīng)用程序漏洞的特征,設(shè)計(jì)一個(gè)具有針對(duì)性和實(shí)用性的掃描系統(tǒng)。對(duì)漏洞掃描的關(guān)鍵技術(shù)進(jìn)行分析研究,提出一種適合于Web應(yīng)用程序漏洞的基于網(wǎng)絡(luò)的掃描器的模型,給出一套相對(duì)完整的、可行的設(shè)計(jì)方案。同時(shí),著力解決其中的關(guān)鍵技術(shù)和問(wèn)題。本文對(duì)漏洞掃描技術(shù)進(jìn)行了深入的研究,并在此基礎(chǔ)上,設(shè)計(jì)了一個(gè)基于網(wǎng)絡(luò)爬蟲(chóng)的Web應(yīng)用程序漏洞掃描系統(tǒng),本文主要工作有以下幾方面:1.研究各種不同的Web應(yīng)用程序漏洞的特性。詳細(xì)剖析了SQL注入及XSS等漏洞,主要包括其
5、產(chǎn)生原因、危害、攻擊步驟、避免方式、檢測(cè)方法等。2.對(duì)開(kāi)源軟件包libcurl進(jìn)行了二次開(kāi)發(fā),模擬實(shí)現(xiàn)HTTP客戶端,完成發(fā)送變異測(cè)試請(qǐng)求和獲取攻擊響應(yīng)等功能。3.利用線程池提高系統(tǒng)的效率,后臺(tái)各個(gè)模塊的執(zhí)行都是由線程池來(lái)執(zhí)行具體K務(wù)的;各個(gè)漏洞模塊采用相同的架構(gòu),具有相同的類層次,提高了系統(tǒng)的可擴(kuò)展性。4.深入研究網(wǎng)絡(luò)爬蟲(chóng)技術(shù),并針對(duì)Web應(yīng)用程序漏洞的特性,改進(jìn)了網(wǎng)絡(luò)爬蟲(chóng)的功能,在爬行的同時(shí)對(duì)動(dòng)態(tài)交互節(jié)點(diǎn)進(jìn)行分析,在遍歷的過(guò)程中記錄可能存在漏洞的可疑點(diǎn)。5.研究現(xiàn)有的基于網(wǎng)絡(luò)的Web應(yīng)用程序漏洞掃描器所使用的技術(shù)、工作
6、結(jié)構(gòu)、基本框架和存在的不足,設(shè)計(jì)并實(shí)現(xiàn)一個(gè)針對(duì)Web應(yīng)用程序漏洞的掃描器,并對(duì)其系統(tǒng)結(jié)構(gòu)和主要功能模塊的實(shí)現(xiàn)做了詳細(xì)的描述。結(jié)合系統(tǒng)要求,研究了每個(gè)模塊所需的相關(guān)實(shí)現(xiàn)技術(shù)。6.對(duì)掃描工具進(jìn)行了測(cè)試,并對(duì)測(cè)試結(jié)果進(jìn)行了分析,分析結(jié)果表明,該掃描器是有效的。摘要關(guān)鍵詞:網(wǎng)絡(luò)安全,漏洞,Web應(yīng)用程序,掃描器ⅡI套^ABSTRACTAlongwiththerapiddevelopmentofnetworkandcommunication,it’Satrendtocommunicatewithopennetwork.Theappl
7、icationofwebbecomesmoreandmoreprevalent.Thewebsitebuildandwebpagedesignbecomemorepopular,butwearebotheredbytheissueofnetworksecurityproblems.Ithasbeenattendedatlarge.Sothescannerhasbeenstudiedanddesigned,thekeytechnologyhasbeenresearchedandimplementedintermsofthec
8、haracteristicofthevulnerabilitiesinthewebapplicationprograms.Thismakestheloopholescanningbeexactandefficient.ForaWebapplicationvulnerabilityscanner'anex