论文网
信息安全类有关论文范例,与网站漏洞检测软件的设计与应用相关毕业论文提纲
本论文是一篇信息安全类有关毕业论文提纲,关于网站漏洞检测软件的设计与应用相关硕士学位毕业论文范文。免费优秀的关于信息安全及网络安全及漏洞方面论文范文资料,适合信息安全论文写作的大学硕士及本科毕业论文开题报告范文和学术职称论文参考文献下载。
【摘 要】本文主要研究一种网站漏洞检测软件,可以对网站的各种危险漏洞进行全面的扫描、检测和分析,从而帮助网站管理员有的放矢地对网站漏洞进行修补.
该文url:http://www.sxsky.net/benkelunwen/060185042.html
【关 键 词】网站漏洞;扫描;检测
1引言
随着社会信息化程度不断提高,网络及其信息系统面临的安全威胁日益突出.10年前,黑客入侵主要是对计算机端口的入侵,而现在则通过Web进行入侵.当黑客得到Webshell时,就可以进一步“提权”获取服务器控制权,从而为所欲为地进行各种破坏活动,带来难以预料的损失.本文主要研究并实现了一款网站漏洞检测软件.针对各种不同脚本的网站漏洞进行分析,并进行漏洞扫描和检测,同时协助网站管理员及时掌握自身网站漏洞信息,有的放矢地进行修补,确保访问者和网站自身的信息安全.
2网站漏洞类型分析
由于Web应用程序的开发者在编写代码的时候,没有对用户输入数据或页面信息(如Cookie)进行必要的合法性判断,导致了攻击者利用这个编程漏洞来入侵数据库或者植入木马,那么后果将不堪设想.根据漏洞利用成功后攻击者获取的网站权限大小,可以将漏洞分为三类:高危漏洞、中危漏洞和低危漏洞.
(1)高危漏洞包括SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞以及服务器安装的第三方软件.
(2)中危漏洞包括网站存在目录浏览漏洞、网站存在Phpinfo文件、网站存在服务器环境探针文件、网站存在日志信息文件、网站存在JSP示例文件.
(3)低危漏洞包括页面上存在网站程序的调试信息、网站存在后台登录地址、网站存在服务端统计信息文件、网站存在敏感目录.
| 有关论文范文主题研究: | 关于信息安全的论文范文集 | 大学生适用: | 高校毕业论文、硕士学位论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 50 | 写作解决问题: | 写作技巧 |
| 毕业论文开题报告: | 论文任务书、论文目录 | 职称论文适用: | 职称评定、高级职称 |
| 所属大学生专业类别: | 写作技巧 | 论文题目推荐度: | 最新题目 |
对于上述网站漏洞,常用的漏洞扫描工具有JSKY、WVS、APPSACN等,通常都是需要付费的,即使有破解版的也多半被捆绑病毒.与之相比,本文研究的网站漏洞检测软件除具备上述软件的基本扫描功能之外,还增加了一些其他功能,以方便测试者使用.
3漏洞检测软件的设计
在对网站漏洞总结分析的基础上,将软件划分为10个功能模块,分别是编码加密模块、浏览器模块、注入模块、Spider模块、XSS攻击检测模块、Web敏感目录扫描模块、IP端口扫描模块、Webinfo检测模块、暴力破解密码模块、其他辅助功能模块等.如图1所示.
主要功能模块介绍.
(1)编码解码加密模:md5加密、Base64、HEX、UTF-7、ASCII、URL编码解码等功能,可以帮助管理员在修补漏洞、测试其网站密码的强弱时提供便利.
(2)浏览器模块:x-forword获取与修改、REF获取与修改、cookie获取与修改,帮助管理员测试cookies欺骗、抓包上传等相关漏洞.
(3)注入模块:检测网站是否存在SQL注入漏洞.包含三种注入检测数据提交方法:get、post和cookies注入.目前通用的防注入系统,对GET和POST注入进行了过滤而未对cookies注入进行过滤,因而导致了部分网站被黑.
(4)Spider模块:爬行整个Web的架构,旨在加强扫描网站的结构,并判断是否存在敏感信息、目录或文件的暴漏等问题.
(5)XSS检测模块:扫描网站程序是否存在XSS漏洞,主要检测反射型和存储型跨站.
(6)Web敏感目录扫描模块:对网站低危漏洞进行测试,扫描网站后台、上传地址、网站备份等敏感信息.
(7)IP端口扫描模块:扫描网站及网站C段的端口,以发现Web服务器开放的特殊端口.
(8)Webinfo检测模块:查询网站的WHOIS,地理位置等信息,同时提醒网管对网站的注册信息进行狭义的社工,以确保自身及网站的安全.
(9)爆力破解模块:
信息安全类有关论文范例
(10)其他辅助功能模块:提供白盒测试、数据库连接等功能.
值得一提的是,本软件是由用户根据需要自行选择扫描模块的.例如,如果用户选择了SQL注入检测功能,那么程序就会分析网站是否存在带参数动态脚本,如果存在,就抓取网站所有链接进行SQL注入检测,反之提示用户网站为动态脚本.
3软件的应用测试
本软件是在Win7X86下用.NET4.0进行测试的,下面列出一些模块的应用测试情况.
(1)Web目录扫描模块测试
Web目录扫描模块主要对网站的敏感目录进行扫描,如网站后台路径、网站编辑器路径、网站备份等一些敏感信息.如图2所示,与市面上的WWWSCAN相比,其图形化的GUI界面不仅使用方便,而且其扫描字典是封装好的DLL,可以扩充修改.软件默认线程为3,以保证扫描时不会向目标网站服务器发送过多的数据包,防止间接形成“DDOS攻击”.
(2)Webshell爆破测试
暴力破解之一的Webshell破解可以帮助管理员利用攻击者的Webshell对自己的网站进行检查,并且追踪入侵者的形迹.如图3所示,Webshell爆破主要针对各种脚本的黑客后门进行多线程密码破解.
4结束语
本文研究的漏洞检测软件可以对各种网站漏洞进行扫描和检测,并向网站管理员及渗透测试工程师提供网站可能存在的漏洞信息,为其漏洞修复提供了可靠、有效的使用工具.
参考文献
[1]王良.漏洞扫描系统设计与应用[J].信息安全与技术,2011.2-3:44-46.
[2]赵振国,蔡皖东.网络漏洞扫描器的设计与实现[J].微电子学与计算机,2005,22(4):122-125.
[3]GB/T20278-2006《信息安全技术网络脆弱性扫描产品技术要求》.
[4]魏为民,袁仲雄.网络攻击与防御技术的研究与实践[J].信息网络安全,2012,(12):53-56.
[5]张驰,罗森林.网页内容安全快速信息抽取方法[J].信息网络安全,2012,(10):20-22.
作者简介:
喻钧(1970-),女,重庆人,副教授,研究方向:网络安全与信息对抗技术.
季靖(1989-),男,陕西汉中人,本科;研究方向:网络与信息安全.
李景涛(1992-),男,陕西榆林人,本科;研究方向:网络与信息安全.
闫涛(1991-),男,山西运城人,本科;研究方向:网络与信息安全.
邢何东(1990-),男,陕西西安,本科;研究方向:网络与信息安全.
信息安全类有关论文范例,与网站漏洞检测软件的设计与应用相关毕业论文提纲参考文献资料: