论文部分内容阅读
随着互联网飞速发展,Web应用越来越普及,蕴含越来越多的经济价值,但其安全性没有得到足够的重视,Web应用逐渐成为攻击者的主要目标,存在严重的安全隐患。为了保障Web应用的安全性,找到合适的Web应用安全漏洞检测方法刻不容缓。传统的人工检测漏洞方式费时费力,效率低效果差,而且随着Web应用规模变大、软件开发周期变短变得更加不可行,必须借助自动化漏洞扫描工具,才能有效地提升Web应用的安全性。针对上述问题,本文对Web应用安全漏洞扫描相关技术进行研究,首先阐述漏洞扫描相关概念,之后分析具体的扫描技术,并着重描述了动态扫描技术的执行过程。之后介绍了Web应用安全漏洞扫描工具的评估方法,为本文的主要工作做了理论铺垫。本文主要贡献如下:第一,目前业界流行的Web应用安全漏洞扫描工具很多,需要一个横向评估,为漏洞检测人员选择适合自己应用场景下的扫描工具提供参考。本文根据Web应用安全漏洞扫描工具评估标准及基准测试方法,选择合适的Web应用wavsep,设计并实施实验,从漏洞覆盖率、误报率、功能支持、性能、易用性等多个角度全方位地对时下流行的七款Web应用安全漏洞扫描工具做出评估,为Web应用安全防范工作提供全面的参考。第二,利用流行的漏洞扫描工具SkipFish对Web系统X做了漏洞扫描,探索漏洞扫描工具的正确的使用方法以及扫描结果去伪存真的分析方法,并针对不同类型的漏洞给出修复意见,旨在分享漏洞扫描工具应用及扫描结果分析的经验。第三,再好的漏洞扫描工具也是不完美的,就拿笔者比较熟悉的SkipFish来讲,它虽然是一款优秀的Web应用安全漏洞扫描工具,仍然有很多细节值得商榷和改进。在以上对SkipFish深入使用的基础上,本文深入分析SkipFish的架构和扫描原理,特别对SQL注入漏洞扫描机制做了细致分析,结合SkipFish扫描wavsep报告找到SkipFish中的不足之处,添加了后台数据库判断、基于时间延迟的攻击请求与响应分析过程,并进行二次开发。通过实验验证,改进后的SkipFish对于SQL注入漏洞的扫描覆盖率,的确得到了显著提升。