毕业论文

打赏
当前位置: 毕业论文 > 计算机论文 >

Web应用程序漏洞扫描器设计(3)

时间:2024-02-29 22:54来源:毕业论文
第三章,Web应用漏洞扫描器的设计与实现。介绍了分布式爬虫漏洞扫描器的结构以及功能,还有漏洞扫描器的运行及其开发环境。 第四章,对所研究的漏洞扫

第三章,Web应用漏洞扫描器的设计与实现。介绍了分布式爬虫漏洞扫描器的结构以及功能,还有漏洞扫描器的运行及其开发环境。

第四章,对所研究的漏洞扫描器的测试。对本文所实现的应用系统进行测试,并分析测试的结果,验证是否达到预期目标。

第五章,总结。对本论文所研究的漏洞扫描器做了简单的小结。

最后列出了本文的参考文献

2 现有WEB应用漏洞扫描器相关技术研究

2。1 HTTP 协议模型 论文网

HTTP 协议是一个属于应用层的面对对象的无状态协议,基于B/S模型,由于其在使用时方便快捷,因此被广泛运用在分布式媒体中。在HTTP协议开始运行时,它首先需要在客户端与服务器建立一个连接。因为它是属于应用层的,主要由请求和响应组成,即由客户端发出请求,服务器在处理后返回响应。协议模型如图 2-1 所示[3],它的工作流程可分为以下四步:

图2-1 HTTP协议模型

1)原始状态客户端与服务器之间是没有联系的,所以首先需要在客户端与服务器建立一个连接。也就是说只要单击一个超链接,HTTP协议就开始工作了。

2)在成功建立连接后,由客户端发送某个请求给服务器,请求时的格式一般为:统一资源标识符(URL)、协议版本号,最后边是MIME信息。

3)服务器接到请求处理完成后,给予相应的响应信息返回给客户,格式为一个状态行,一般情况下包括信息的协议版本号和一个正确或错误的代码。

4)最终服务器将响应以 HTML 文档的形式发送给浏览器,浏览器通过解析HTTP的响应头,进行合理性判断,检查返回信息是否成功返回了用户所需要的网页信息,浏览器渲染HTML文档,显示界面。

最早的WWW中,“客户”与“服务器”是一个相对的概念,只存在于一个特定的连接期间,即在某个连接中的客户在另一个连接中可能作为服务器。一般情况,HTTP协议都是基于B/S模式的信息交换过程,主要分为四个过程:首先要建立相应的连接、发送请求信息、处理请求后返回响应信息、最后关闭连接。HTTP协议主要通过带查询字符串的 URL 和 POST 方法提交数据,。

2。2 Web应用漏洞概述

2。2。1 Web 应用漏洞概念

Web应用漏洞一般是指系统在软件或者协议的实现过程中存在的缺陷,从而使恶意攻击者可以在没有权限的情况下破坏系统的安全应用层。如果这些Web应用层的安全漏洞被恶意攻击者发现,很有可能被用来攻击Web应用程序并盗取数据库信息,甚至有可能因此而获取系统服务器的管理权限,那样对网络安全将是一大隐患。根据漏洞的特点和攻击方式原因等不同,目前所发现的漏洞最常见的包括 SQL 注入漏洞和XSS漏洞、命令注入漏洞等等,本次论文中将着重研究SQL注入漏洞和XSS漏洞,将其跟研究项目进行对比。

2。2。2 Web应用漏洞产生的原因

产生Web应用程序漏洞的原因主要有以下几个方面:

1) 输入验证错误:由于大多数程序员缺乏良好的防护意识,很多程序员在编写Web应用程序代码时,没有及时对用户的身份信息进行验证,往往把用户输入的信息数据认为是真实可靠的。

2)授权错误:给予没有权限的用户相应的权限,这种错误一般是因为系统的控制机制不够完善导致的。

3)异常处理错误:很多时候Web应用需要进行必要的异常处理,可是如果异常处理的不彻底,系统默认的信息就会泄漏服务器的信息。

4)配置错误:管理员没有及时将系统存在漏洞的软件进行相应的升级,也没有合理地配置各种Web应用软件,并且在系统出现漏洞时没有把相应的补丁下载安装成功。 Web应用程序漏洞扫描器设计(3):http://www.youerw.com/jisuanji/lunwen_202454.html

------分隔线----------------------------
推荐内容