第三章,Web应用漏洞扫描器的设计与实现。介绍了分布式爬虫漏洞扫描器的结构以及功能,还有漏洞扫描器的运行及其开发环境。

第四章,对所研究的漏洞扫描器的测试。对本文所实现的应用系统进行测试,并分析测试的结果,验证是否达到预期目标。

第五章,总结。对本论文所研究的漏洞扫描器做了简单的小结。

最后列出了本文的参考文献

2 现有WEB应用漏洞扫描器相关技术研究

2。1 HTTP 协议模型 论文网

HTTP 协议是一个属于应用层的面对对象的无状态协议,基于B/S模型,由于其在使用时方便快捷,因此被广泛运用在分布式媒体中。在HTTP协议开始运行时,它首先需要在客户端与服务器建立一个连接。因为它是属于应用层的,主要由请求和响应组成,即由客户端发出请求,服务器在处理后返回响应。协议模型如图 2-1 所示[3],它的工作流程可分为以下四步:

图2-1 HTTP协议模型

1)原始状态客户端与服务器之间是没有联系的,所以首先需要在客户端与服务器建立一个连接。也就是说只要单击一个超链接,HTTP协议就开始工作了。

2)在成功建立连接后,由客户端发送某个请求给服务器,请求时的格式一般为:统一资源标识符(URL)、协议版本号,最后边是MIME信息。

3)服务器接到请求处理完成后,给予相应的响应信息返回给客户,格式为一个状态行,一般情况下包括信息的协议版本号和一个正确或错误的代码。

4)最终服务器将响应以 HTML 文档的形式发送给浏览器,浏览器通过解析HTTP的响应头,进行合理性判断,检查返回信息是否成功返回了用户所需要的网页信息,浏览器渲染HTML文档,显示界面。

最早的WWW中,“客户”与“服务器”是一个相对的概念,只存在于一个特定的连接期间,即在某个连接中的客户在另一个连接中可能作为服务器。一般情况,HTTP协议都是基于B/S模式的信息交换过程,主要分为四个过程:首先要建立相应的连接、发送请求信息、处理请求后返回响应信息、最后关闭连接。HTTP协议主要通过带查询字符串的 URL 和 POST 方法提交数据,。

2。2 Web应用漏洞概述

2。2。1 Web 应用漏洞概念

Web应用漏洞一般是指系统在软件或者协议的实现过程中存在的缺陷,从而使恶意攻击者可以在没有权限的情况下破坏系统的安全应用层。如果这些Web应用层的安全漏洞被恶意攻击者发现,很有可能被用来攻击Web应用程序并盗取数据库信息,甚至有可能因此而获取系统服务器的管理权限,那样对网络安全将是一大隐患。根据漏洞的特点和攻击方式原因等不同,目前所发现的漏洞最常见的包括 SQL 注入漏洞和XSS漏洞、命令注入漏洞等等,本次论文中将着重研究SQL注入漏洞和XSS漏洞,将其跟研究项目进行对比。

2。2。2 Web应用漏洞产生的原因

产生Web应用程序漏洞的原因主要有以下几个方面:

1) 输入验证错误:由于大多数程序员缺乏良好的防护意识,很多程序员在编写Web应用程序代码时,没有及时对用户的身份信息进行验证,往往把用户输入的信息数据认为是真实可靠的。

2)授权错误:给予没有权限的用户相应的权限,这种错误一般是因为系统的控制机制不够完善导致的。

3)异常处理错误:很多时候Web应用需要进行必要的异常处理,可是如果异常处理的不彻底,系统默认的信息就会泄漏服务器的信息。

4)配置错误:管理员没有及时将系统存在漏洞的软件进行相应的升级,也没有合理地配置各种Web应用软件,并且在系统出现漏洞时没有把相应的补丁下载安装成功。

上一篇:移动安防系统Android客户端的设计与实现
下一篇:没有了

基于JavaWeb的考试自动评分系统的设计与实现

Javaweb网络培训班管理及课程管理设计+源代码

Linux系统下web服务器的搭建与设计

论利用ebXML和SOAP开发Web服务【2352字】

Web技术的网络考试系统【2240字】

ASP技术开发Web数据库检索程序【1514字】

ASP.NET的Web网络應用程序开...

发动机冷试技术国内外研究现状综述

中小企业會计制度设计的...

试论中国电影的后现代特...

张掖市生育保险方案政策...

城镇化进程中的农村社會...

谈数形结合在中学数学教育中的应用

高校公共标识导向系统研究【2437字】

法律英语文体研究

云南文山三七市场现状及其对策

上海市某酒店空调通风工程设计