图1-1 漏洞数量趋势

但是，目前有关Web应用的安全问题却日益突出，因为它自身的开放性和易于开发性很容易成为攻击者的攻击对象，类似于跨站点脚本、注入漏洞等各种应用安全问题不断发生。如图 1-1 显示了最近5年来的对比图，截止到2016年12月份初被确认的网络数据库的漏洞一共136个，从中可见漏洞数量增长的速度非常快。由于Web应用自身的特点，目前它已经成为网络安全的一个盲点，这对防御保护系统应用来说增加了一定难度。与此同时，随着网络技术的不断先进，大多数黑客将攻击对象转向了Web应用层。例如：根据 Garter 的研究结果显示[2]，在目前已经发现的信息安全漏洞中，75%的漏洞都是针对 Web 应用层而并非是网络层，但是当今社会却是很多企业单位将大量的资金花费在了维护系统层的安全上，而没有保障Web应用程序的安全，因此才给了黑客可乘之机。

如果各种安全问题不能及时得到有效解决，那么互联网带给我们的危害将远大于它所创造的价值，而且研究Web安全漏洞检测技术和工具对促进我国软件事业的发展,保障各行业正常运转等都具有重要意义。

1。2 研究的目的、内容以及目标

1。2。1 研究的目的来自优I尔Q论T文D网WWw.YoueRw.com 加QQ7520~18766

由于Web应用系统的开发、维护人员缺乏足够的安全意识,并且做了不充分的安全测试，导致Web系统出现了各种各样的漏洞,安全问题层出不穷。以前的漏洞扫描系统大多都侧重于主机漏洞的扫描,对应用安全漏洞的扫描在近年来才逐渐得到了人们的重视。商业软件根本无法快速的实现漏洞的检测,如果一个新型漏洞出现,则必须要等待软件厂商对软件进行相应升级，并对其性能进行相应的检测才可以去测试，这样让我们失去了安全检测的主动权。此外,由于漏洞检测的工具本身也存在安全问题,在检测过程中出现远程溢出漏洞,攻击者利用它去执行任意的操作命令,一个安全检测软件却给自身带来了安全问题。漏洞扫描技术是一种主动防御技术，一般情况下，它会将很多潜在的漏洞扼杀在摇篮中，这为网络安全减少了很多不必要的麻烦。因此，对Web应用安全漏洞的检测技术的研究具有重要的意义，如果让漏洞扫描器和防火墙相辅相成，那么就可以早日定位在系统中存在的漏洞。针对传统的扫描器所存在的问题，如何提高漏洞扫描器的扫描速率，扩大扫描范围便成了本次研究的目的。

1。2。2 研究的内容

本论文主要研究以下内容：

1。研究几种不同的漏洞扫描器的特征及其相关技术。详细讲述了HTTP协议工作方式和出现漏洞次数最多的SQL注入漏洞和XSS漏洞。

2。研究分布式网络爬虫技术，使得它不仅能对网页进行抓取和解析，也可以对网址进行 URL 标准格式化及过滤。 

3。研究了基于网络爬虫的分布式Web 应用漏洞扫描器，实现了对SQL 注入漏洞，XSS 漏洞等扫描检测功能。

4。通过数据分析对比，即用一种漏洞扫描评估工具检测数据做对比。最终，对分布式爬虫漏洞扫描器进行检测是否达到预期的目标。

1。2。3 研究的目标

本次论文的研究目标在于如何实现一个系统扩展性良好、高效率、用户界面友好的基于Web应用分布式爬虫系统的安全漏洞扫描器。

1。3论文的组织结构

本文一共分为五章,各章的概述如下：

第一章,绪论。简单的介绍了本次论文的研究背景，以及研究目标和内容。对将要展开的研究工作提出了明确的方向，对论文研究进行了整体介绍。

第二章,现有Web应用相关技术的研究与分析。研究了Web应用相关的HTTP协议模型，简单的介绍了它的工作流程，以及各种常见Web应用安全漏洞如SQL注入漏洞,XSS漏洞等的形成原因,检测方法以及防御方法。 Web应用程序漏洞扫描器设计(2):http://www.youerw.com/jisuanji/lunwen_202454.html