web渗透平台项目文档概要设计

《web渗透平台项目文档概要设计》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、“Web渗透测试平台概要设计报告文件状态：文件标识：[V]草稿当前版木：V1.0[]正式发布作者：马炅[]正在修改完成円期：2015-4-071.弓I言31.1编写0的31.2系统概述31.3读者对象31.4参考文档32.系统体系结构设计42.1整体功能结构42.2系统总体平台设计51.引言1.1编写目的木文档是“Web渗透测试平台”的详细概要设计报告，详细阐述了系统的体系结构设计、主耍功能模块与流程、开发环境的配置、运行环境的配置和测试环境的配置。1.2系统概述木系统名为“Web渗透测试平台”。木系统

2、主要实现以下功能：a)爬取0M站的网页；b)解析爬収网贝的标签提収注入点；c)ft动进行攻击测试，根据服务器响应得出攻击结果。d)输出结果报告。木系统旨在自动进行web应用的渗透测试，发现web应用存在的漏洞，让开发人员及时修改以最大限度的保证web应用的安全。1.3读者对象•系统用户与软件开发人员，对系统用途、实现功能等达成共识。•软件设计人员系统架构设计，系统功能模块设计，系统接口设计等。•软件测试人员测试川例编写，功能测试等。1.4参考文档1.系统体系结构设计2.1整体功能结构Web渗透测试平台一

3、个基于爬虫的web应用A动渗透测试平台系统，该系统能够对Web应用进行自动渗透攻击，通过服务器响应信息，分析web应用存在的漏洞，为用户提供Web应川的安全状态以及存在的漏洞隐患。该系统采川MVC架构将视图层、业务逻辑层和数据层分开，将此工具的各个职能分开。使川模块化的设计理论，在视图层主要设计了川户接口模块和漏洞报告模块；在业务逻辑层设计r爬取模块，分析模块，解析模块，检测模块和攻击记录模块；在数裾层包含漏洞特征库、攻击字符串庠以及攻缶记录庳。系统整体功能如阁2-1所示:用广接口层用户接口漏洞报告逻辑

4、层爬取模块解析模诀分析模诀检测模块记录模块数裾层漏洞特征攻击字符攻击记录库串库库图2-2系统整体功能结构2.2系统总体平台设计系统总体平台设计如图2-1所示:下酸网页璿求一网贞抓取愤决逢WW坩帽关價惠网»翱关信息进行攻击霞好的可注入点检测換块'攻山记谈模块格攻击憾翬发送至记最篇一分析模坎析响应，让攻击镬块蠼《攻^^+解析祺块後交所有攻击格聚提取特s倌應致祺痄及舶洞特征库攻il?宁符中麻阌2-2系统总体平台设计Web应用挖掘漏洞系统总的分为5个部分:网页抓取模块、分析模块、检测模块、记录模块和报告模块。系

5、统各部分的功能如下:网页抓取校块:负贵对网站站点的网页进行遍历卜_载所奋html的内矜，包括对无效、重复网页、重复注入点进行过滤。分析模块:其又分为两个子模块I.解析模块:对网页抓取模块所提取的网贝内容进行遍历来进行网站结构的建立;提取有效注入点,如表单等相关可能与服务器进行交互的关键信息，记录请求的PT存。然后将注入点以及注入点相关信怠（如请求字段等）传递给检测块。II.分析判断模块:分析检测模块淸求服务器后服务器所作出的响应，判断响应，将结果递交给检测模块继续进行检测以及保存信总到记录器里。检测模块

6、:针对不同注入点，从检测数裾库里提取相应检测字段,并将其组成冇效的请求发送给服务器。记录模块:分析器确认对于某个注入点的一次完整检测结束后，若此注入点可注入，则将其漏洞倌怠传递给记录模块进行保存，记录模块将倍怠熏新组织分析，并根裾扣应的规则进行评估;然P将评佔信息传递给报告模块。报告模块:根据记录模块的牛成信怠，生成对于某个网站的扫描结果报告，对于每个漏洞有简单的描述及修补策略。W外，数据库主要足由两部分构成：数据库信息库H呆存丫多种数据库的特征，如对错误的提示信息用于进行匹配，从血精确地判断数据库的类

7、型及版本等重要信怠，缩小检测的范闹以达到提高效率的目的。检测字符串信息库:保存了各种能够导致SQL注入产中的检测字符串。