Web安全扫描仪的设计与实现

作     者：Bernardo Atanazio Matsimbe 

作者单位：华中科技大学 

学位级别：硕士

导师姓名：Tan Yunmeng

授予年度：2009年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：跨站点脚本 SQL注入 运行漏洞扫描器 

摘      要：Web技术的应用是由Web服务器的执行软件应用中的一种,主要用于通过HTTP协议响应动态网页请求,目前也已经成为各种服务供应商和客户一个最重要的沟通渠道。因此, Web技术应用成为众多攻击者感兴趣的目标之一。研究人员已经发现24种用于公司,客户,政府机构和其他机构的网络攻击。当前,两种最常见的Web应用程序漏洞是众所周知的跨站点脚本( XSS )和Injection Flaw( SQL注入)。 很多工具已经用来减轻和解决上述Web应用的漏洞。本研究应用了一种Web应用程序漏洞评估工具WAVA。它是一种用于辨别黑客有可能利用未经授权访问系统和数据的Web安全漏洞,并自动评估Web应用程序脆弱性的工具。WAVA可以动态分析Web应用程序,搜索包括跨站脚本和SQL注入的漏洞,同时扫描Web应用安全漏洞,并以针对所确定的主题进行渗透测试。 建议,以减轻web安全问题解决在分析将提供试图消除或尽量减少网络服务器和应用程序漏洞,从而增加他们的安全。