欢迎来到天天文库
浏览记录
ID:35101948
大小:4.05 MB
页数:70页
时间:2019-03-17
《面向web应用的漏洞扫描技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、??''一:-'一、’\二’>;、-餐"i...),V.W.譯?)._’‘.4吃‘早袭WV/■提'■.:芳>.-考.V兵.'、-'酒文抹.-^^:,一a;公^j二倾.级么r這短"..—,:妾.J打?气/V祭-.!:r^"\声致,43-"、.一學;^V.:.r.款"'一^-...-J.葦受v1;^7.’.,:.令?苗v;苗紙.鸣''.接'塞打3僅<雀著f.苦巧i:^梦.鄉>一^.-一.气片.軒,./:蒸IitL:钱巫女na吉'荐夺家硕化kV■.V;.;>'.r.、>.:"4;冻'.T.,L養凌%:.:
2、l^互:為—濟零弘7蕾i苗藥辱.;>.v.'‘0.">-;i;替Vw.V'v;\,;'^一:讓.v.?f、与;ivi;:>%和;」麵夕':遠l命.,e^^',挺’、辞:石巧.l.11舊/'-%孤寒p爵一贫..蛛;..-‘黃琴-.smi岐面W^巧刷小扫描就研巧/畫..:,r/身;。.V'|..T,、'.錢..‘追’学。王U齡6巧;...'\/>:辕:'V;1I_姓Vvv叫琪."v/.-或知、-案‘i.--'%-".rf,导,為>蔡鮮置、‘..為義‘、1-.>C'25^^纖轉 ̄口柳Hv.
3、;:...?.套类-!巧全日制>磯;/;‘;;赛:'寺’.r_.论斬,\>巧如通缸L亩:毒.;r.-.^..'皆.三别如rv-化年4/*.气'.;‘六、'.-...^\-..."-,於>-\V足v,斗善饼.韦f.r:苗>i.管!別,一;一瀑蒙户.、托.-,!'."房.^起!.營’.、.^:'」、V‘餐若,儀整:.记宅:.致秦咨5■赛:留I基追兹式>1墙撫幽息絶^Thevulnerabilityscanningtechnologyresearchfo
4、rWebapplicationsThesisSubmittedtoNanjingUniversityofPostsandTelecommunicationsfortheDegreeofMasterofEngineeringByQi.WANGSupervisor:Prof.Xiangbao.CAIApril2016摘要Web应用日益强大的功能性和实用性不断吸引了广大用户和黑客的关注。数据表明互联网已经成为数据泄露频发地,Web应用安全面临越来越严重的挑战。Web应用的漏洞扫描是在漏洞检测数据库基础上,对远程或者本地Web应用进行自动化扫描,以发现可利用漏洞的安全检测行为。本文的主要工作:
5、1.目前大多网站过分依赖WAF防御技术,而忽略对Web应用代码的提升。漏洞扫描过程中常常遭遇WAF拦截,导致漏洞扫描工具存在较高的误报率和误报率。本文在Skipfish扫描模块中加入WAF绕过脚本模块,提出两级漏洞探测策略加深漏洞探测深度。经验证该方案能够成功绕过大部分WAF防御,提升漏洞扫描准确率。2.面对日新月异的黑客技术和互联网安全的挑战,漏洞扫描模块的探测参数也应根据实际情况不断予以更新和优化。本文提出一种依据探测参数等级划分的优化方案,不同类型的参数依据其成功率进行等级划分。这种优化方案能够保证系统二次开发过程中依据不同等级实现系统参数更新。3.从扫描策略和扫描任务管理方面着
6、手改进Skipfish开源软件,以Skipfish为原型搭建B/S模式的Web漏洞扫描系统。该系统新增自主选择漏洞扫描类型和扫描任务管理功能。新系统可依据项目需要自行选择不同的扫描类型,提供更多人性化管理功能。本文从漏洞扫描与渗透思想融合的角度,将漏洞扫描的思路扩展到新的高度,为下一步Web应用的漏洞扫描技术的发展奠定了基础。关键词:Web应用,WAF,渗透测试,漏洞扫描IAbstractWebapplicationshavedrawnincreasingattentionofusersandhackersforthemoreandmorepowerfulfunctionalityan
7、dpracticality.Internetisthemainwaytorevealdata,whichleadtoaseriouschallengeforWeb.ThevulnerabilityscanningofWebapplicationisbasedonvulnerabilitydatabaseandachievesautomatedscanningfortheremoteorlocalwebapplicationstofindavai
此文档下载收益归作者所有
