基于漏洞分級(jí)和Fuzz技術(shù)的Web漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著Web應(yīng)用技術(shù)的迅猛發(fā)展，Web應(yīng)用已經(jīng)涉及到人們生活的各個(gè)領(lǐng)域，Web應(yīng)用系統(tǒng)漏洞檢測(cè)技術(shù)日益成為國(guó)內(nèi)外學(xué)習(xí)和研究的熱點(diǎn)與重點(diǎn)。但是，Web應(yīng)用系統(tǒng)漏洞自動(dòng)化檢測(cè)技術(shù)還處于起步階段，Web應(yīng)用系統(tǒng)的安全防護(hù)問題還未得到足夠的重視。針對(duì)SQL注入、跨站點(diǎn)腳本等常見Web應(yīng)用系統(tǒng)漏洞進(jìn)行的攻擊都是從正常的WWW端口進(jìn)行，可能會(huì)造成不可預(yù)想的危害且很難被人察覺到。因此，對(duì)Web應(yīng)用系統(tǒng)漏洞自動(dòng)化檢測(cè)技術(shù)進(jìn)行全面的研究，以及相關(guān)檢測(cè)系統(tǒng)的

2、實(shí)現(xiàn)對(duì)于Web應(yīng)用系統(tǒng)漏洞的防范及檢測(cè)具有極其重要的理論意義和實(shí)用價(jià)值。
　　 本論文在深入分析總結(jié)常見Web應(yīng)用系統(tǒng)漏洞的攻擊方式、攻擊特點(diǎn)、攻擊參數(shù)及相應(yīng)防御機(jī)制的基礎(chǔ)上，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于網(wǎng)絡(luò)的、基于漏洞分級(jí)及Fuzz技術(shù)的Web漏洞檢測(cè)系統(tǒng)。系統(tǒng)中依據(jù)防御度高低對(duì)Web漏洞進(jìn)行等級(jí)劃分，并將漏洞分級(jí)作為模糊測(cè)試用例等價(jià)類劃分的依據(jù)，將各漏洞攻擊參數(shù)進(jìn)行優(yōu)化選擇后，以模擬黑客攻擊的方式主動(dòng)地、有針對(duì)性地進(jìn)行漏洞檢測(cè)。

3、r>　　 基于漏洞分級(jí)和Fuzz技術(shù)的漏洞檢測(cè)模型能能夠完整、自動(dòng)的遍歷整個(gè)目標(biāo)Web應(yīng)用程序，同時(shí)提取頁面關(guān)鍵信息并根據(jù)各類型漏洞結(jié)構(gòu)特征對(duì)頁面集合進(jìn)行分類，較好的提高了運(yùn)行效率。另外，各漏洞檢測(cè)引擎以插件的形式加載到系統(tǒng)主程序中，使得系統(tǒng)便于擴(kuò)展和維護(hù)。并且，本系統(tǒng)采用基于網(wǎng)絡(luò)的主動(dòng)探測(cè)的方式，從黑客攻擊的角度出發(fā)進(jìn)行漏洞檢測(cè)，使檢測(cè)結(jié)果更具現(xiàn)實(shí)意義。在漏洞分級(jí)的基礎(chǔ)上對(duì)漏洞檢測(cè)參數(shù)進(jìn)行了等價(jià)類劃分，保證了測(cè)試完備性，消除了測(cè)試冗