摘要2012年12月21日,CSDN证实600万数据库泄漏,CSDN网站早期使用过明文密码,使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理黑客在网上公开了CSDN用户数据库,涉及到的账户总量高达600万个,此次CSDN泄漏的密码无任何加密明文形式。由于CSDN用户多为程序员,此次事件影响巨大,为各大网站的WEB安全意识敲响警钟[1]。
随着互联网进入web2.0时代,web应用程序经常在诸如医学、金融、军事等系统中得到广泛应用,漏洞挖掘是保证web应用程序安全的一种重要手段。因此,我在此次毕业设计中主要作如下工作:9386
(1)学习web应用程序安全基本知识,并熟练使用Burp工具。
(2)扫描当前各大网站web漏洞,研究当前普遍存在的安全问题。
(3)针对明文密码传输漏洞,深入研究其原理和解决办法。
关键词 WEB安全,漏洞扫描,Burp
毕业设计说明书(论文)外文摘要
Title Analysis and improve WEB security vulnerability detection tool
Abstract
In December 21, 2012, CSDN confirmed 6000000 database leak, CSDN site of early using clear-text passwords, using the plaintext with a third chat program integration verification brings, later programmers did not deal with hacker on net discloses CSDN user database, relates to account the total amounts to 6000000, the leakage of CSDN password no encrypting a plaintext form. Because the CSDN user for programmers, this event impact, as the major site of WEB safety alarm.
With the advent of the Internet into the era of the Web2.0, web applications such as medicine, often in financial, military and other systems are widely used, loophole mining is to ensure that the web application security is a kind of important means. Therefore, I graduated in the design of the main work as follows:
(1)Learning web application safety basic knowledge, and proficiency in the use of Burp tools.
(2)Scanning the present each big website Web loophole, studies the current common safety problems.
(3)The plaintext transmission holes, in-depth study of its principles and solutions.
Keywords WEB security, vulnerability scanning, Burp
目次
1 绪论 1
1.1 概述 1
1.2 WEB安全现状及趋势 1
1.3 研究目的及意义 3
2 Web应用程序漏洞及挖掘技术 4
2.1 漏洞的概念 4
2.2 Web漏洞分类 4
2.3 本章小结 6
3 Burp的研究 7
3.1 Web应用程序漏洞挖掘工具简介 7
3.2 Burp Suite简介 8
3.3 Web拦截代理 8
3.3.1拦截代理 9
3.3.2 Web应用爬虫 11
3.3.3 Fuzzer和扫描器 12
3.3.4手工的请求工具 13
3.3.5共享功能和效用 13
3.4 性能比较 14
3.5 本章小结 16
4 运用Burp Suite检测漏洞 17
4.1 Burp Suite的配置 17
4.2 Burp Suite漏洞扫描 18
4.3 各大门户网站漏洞分析 19
4.4 常见漏洞调查 19
4.5 本章小结 29
5 明文密码传输漏洞 30