扫描技术是一种重要的信息安全技术。它可以与防火墙和入侵检测系统配合,可有效提高信息系统的Web应用层的安全。通过深入的Web应用扫描,Web应用程序管理员或开发人员可以迅速了解Web应用程序的安全漏洞,客观地评价了Web应用的风险水平,有效防范黑客攻击。


1。研究背景


1.1 Web应用程序安全状态


随着互联网的发展,网上金融交易、电子政务、企业门户网站、社区论坛、基于信息共享平台和其他类型的HTML文件格式的电子商务(网络系统)越来越完善,点到的人点的生活。然而,Web应用程序共享的平台,给我们的生活带来了方便,也面临着前所未有的挑战:Web应用系统直接面向互联网,入侵攻击的跳板服务器Web应用系统甚至控制整个网络系统已成为最常见的攻击,根据Gartner的最新调查显示,超过75%的攻击是基于Web的应用层面而非网络层面。与此同时,数据显示,2/3的网站相当脆弱和脆弱。


根据中国互联网急救中心最新统计,网站篡改中国大陆2009的数量一直在增加,而网站被篡改的数量已经达到了52225。在2009日,公安部对国内政府网站的安全检查,发现了40%个严重的安全漏洞,包括SQL注入、跨站脚本等网页篡改、网络、机密数据泄漏造成的安全事故的频繁发生,不仅严重影响外在形象,有时甚至会造成巨大的经济损失,或者严重的社会问题,严重危及国家安全和人民的利益。


网络篡改:一些非法攻击对象的焦点,一旦门户组织被篡改了一些敏感的显式内容,就造成了巨大的影响,严重的甚至是政治事件。


Web内容在表面上毫无例外,实际上是在秘密地挂上木马程序。马不一定会给网站带来直接的损害,但它会给用户浏览网站带来巨大的损失。一旦网站链接到了马,它的权威性和可信度就会受到损害。


机密数据泄露:在线商务系统中,总是需要保留一些与企业和公众有关的信息,这些数据往往涉及商业秘密和个人隐私,一旦泄露,将引起企业或个人的利益,可能带来严重的法律纠纷。


1.2种传统的安全防护方法


各级企业的Web应用程序,不同的技术已被用来确保安全。为了保护客户端机器的安全,用户会安装防病毒软件;为了保证用户数据传输的安全对企业的Web服务器,通信层通常加密数据使用SSL技术;防火墙IDS / IPS确保只允许特定的访问,不必要暴露的端口和非法的访问,这里将同时受阻;企业通过授权用户访问Web应用程序的认证机制。







但是,即使有反病毒保护、防火墙和IDS,公司仍必须允许其通信的一部分。


在防火墙上,保护可以关闭不必要暴露的端口,但Web应用程序必须具有的端口必须打开。这部分通信的顺利通道可能是善意的,可能是恶意的,而且很难区分。同时,Web应用程序是由软件组成的。然后,它将包含漏洞。这些漏洞可能被恶意用户利用。他们在Web应用程序中执行恶意操作或窃取、操作或破坏重要信息。


1.3本文研究的观点。


Web站点是否有Web应用程序漏洞在入侵后经常被检测到;在发起攻击之前如何发现Web应用程序漏洞答案是:主动防御,即利用Web应用程序的漏洞扫描技术,主动实现web应用程序的安全性。


本文针对web应用系统的B/S体系结构中的典型漏洞、流行攻击技术、ajax隐藏资源获取、验证码图像识别等问题,提出了一种新的面向Web的漏洞检测技术,可以完成对Ajax资源的提取,有效识别代码。