下载后可任意编辑9下载后可任意编辑摘 要随着 Web2.0、社交网络、微博等一系列新型的互联网产品的诞生,基于 Web 环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在 Web 平台上。Web 应用的迅速进展也引起黑客们的强烈关注,接踵而至的就是 Web 安全威胁的凸显,黑客利用 Web 应用程序的漏洞得到 Web 服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害[1]。针对上述问题,本文在分析了 Web 应用安全漏洞的基本原理及其产生原因的基础上,介绍了漏洞扫描方法及现有的漏洞扫描器扫描关键技术,针对现有 Web 应用安全漏洞扫描工具的不足,提出了一种高效的基于优化爬虫的 Web 应用漏洞扫描机制。基于本文提出的漏洞扫描机制,为典型的 Web 漏洞 XSS 漏洞及 SQL 注入漏洞设计了扫描方法,并实现了 SQL 注入漏洞和 XSS 漏洞的扫描。设计实现了一款基于SAAS 模式的可用性高,可扩展性高,性能良好的 Web 应用安全漏洞扫描器。本文主要工作如下:1. 分析各种不同的 Web 应用程序漏洞的特性以及 Web 应用漏洞的扫描技术。 尤其详细剖析了漏洞出现次数最多的 SQL 注入漏洞,XSS 漏洞,信息泄漏漏洞, 包括产生原因,攻击方式,检测方法和防备方法等等。2. 讨论网络爬虫技术,设计了一种基于广度优先策略的优化网络爬虫算法,使得它它不仅能够抓取网页,还能对网页进行解析,并且有效去重。运用正则表达 式的方法,提取出网站的所有的可输入域,其中还要对网址进行 URL 标准格式化,URL 过滤,URL 参数变换,增强了系统的性能。3. 设计出 Web 应用漏洞扫描器;实现了对 SQL 注入漏洞,XSS 漏洞和目录遍历漏洞的扫描功能,采纳漏洞信息库,作为基于 Web 应用安全漏洞扫描器的扫描结果,表明该扫描方法能够有效的扫描SQL 注入和 XSS 漏洞,同时也验证了本文设计的 Web 应用漏洞扫描机制的有效性和可行性。关键词:Web 应用安全,安全漏洞,漏洞扫描,SQL 注入,XSS 漏洞IAbstractWith the birth of a series of new Internet products such as Web2.0, social networks, and Weibo, Internet applications based on the Web environment have become more and more extensive, and various applications in the process of enterprise informatization have been set...
