网站漏洞检测软件的设计与应用

更新时间:2024-01-16 作者:用户投稿原创标记本站原创 点赞:23656 浏览:107793

【摘 要】本文主要研究一种网站漏洞检测软件,可以对网站的各种危险漏洞进行全面的扫描、检测和分析,从而帮助网站管理员有的放矢地对网站漏洞进行修补.


【关 键 词】网站漏洞;扫描;检测

1引言

随着社会信息化程度不断提高,网络及其信息系统面临的安全威胁日益突出.10年前,入侵主要是对计算机端口的入侵,而现在则通过Web进行入侵.当得到Webshell时,就可以进一步“提权”获取怎么写作器控制权,从而为所欲为地进行各种破坏活动,带来难以预料的损失.本文主要研究并实现了一款网站漏洞检测软件.针对各种不同脚本的网站漏洞进行分析,并进行漏洞扫描和检测,同时协助网站管理员及时掌握自身网站漏洞信息,有的放矢地进行修补,确保访问者和网站自身的信息安全.

2网站漏洞类型分析

由于Web应用程序的开发者在编写代码的时候,没有对用户输入数据或页面信息(如Cookie)进行必要的合法性判断,导致了攻击者利用这个编程漏洞来入侵数据库或者植入木马,那么后果将不堪设想.根据漏洞利用成功后攻击者获取的网站权限大小,可以将漏洞分为三类:高危漏洞、中危漏洞和低危漏洞.

(1)高危漏洞包括SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞以及怎么写作器安装的第三方软件.

(2)中危漏洞包括网站存在目录浏览漏洞、网站存在Phpinfo文件、网站存在怎么写作器环境探针文件、网站存在日志信息文件、网站存在JSP示例文件.

(3)低危漏洞包括页面上存在网站程序的调试信息、网站存在后台登录地址、网站存在怎么写作端统计信息文件、网站存在敏感目录.

对于上述网站漏洞,常用的漏洞扫描工具有JSKY、WVS、APPSACN等,通常都是需要付费的,即使有版的也多半被捆绑病毒.与之相比,本文研究的网站漏洞检测软件除具备上述软件的基本扫描功能之外,还增加了一些其他功能,以方便测试者使用.

3漏洞检测软件的设计

在对网站漏洞总结分析的基础上,将软件划分为10个功能模块,分别是编码加密模块、浏览器模块、注入模块、Spider模块、XSS攻击检测模块、Web敏感目录扫描模块、IP端口扫描模块、Webinfo检测模块、暴力模块、其他辅助功能模块等.如图1所示.

主要功能模块介绍.

(1)编码解码加密模:md5加密、Base64、HEX、UTF-7、ASCII、URL编码解码等功能,可以帮助管理员在修补漏洞、测试其网站的强弱时提供便利.

(2)浏览器模块:x-forword获取与修改、REF获取与修改、cookie获取与修改,帮助管理员测试cookies欺骗、抓包上传等相关漏洞.

(3)注入模块:检测网站是否存在SQL注入漏洞.包含三种注入检测数据提交方法:get、post和cookies注入.目前通用的防注入系统,对GET和POST注入进行了过滤而未对cookies注入进行过滤,因而导致了部分网站被黑.

(4)Spider模块:爬行整个Web的架构,旨在加强扫描网站的结构,并判断是否存在敏感信息、目录或文件的暴漏等问题.

(5)XSS检测模块:扫描网站程序是否存在XSS漏洞,主要检测反射型和存储型跨站.

(6)Web敏感目录扫描模块:对网站低危漏洞进行测试,扫描网站后台、上传地址、网站备份等敏感信息.

(7)IP端口扫描模块:扫描网站及网站C段的端口,以发现Web怎么写作器开放的特殊端口.

(8)Webinfo检测模块:查询网站的WHOIS,地理位置等信息,同时提醒网管对网站的注册信息进行狭义的社工,以确保自身及网站的安全.

(9)爆力模块:Webshell爆破、SHH爆破、Tel爆破、MSSQL爆破、MYSQL爆破,帮助管理员测试系统安装的第三方软件是否存在弱口令漏洞.

(10)其他辅助功能模块:提供白盒测试、数据库连接等功能.

值得一提的是,本软件是由用户根据需要自行选择扫描模块的.例如,如果用户选择了SQL注入检测功能,那么程序就会分析网站是否存在带参数动态脚本,如果存在,就抓取网站所有链接进行SQL注入检测,反之提示用户网站为动态脚本.

3软件的应用测试

本软件是在Win7X86下用.NET4.0进行测试的,下面列出一些模块的应用测试情况.

(1)Web目录扫描模块测试

Web目录扫描模块主要对网站的敏感目录进行扫描,如网站后台路径、网站编辑器路径、网站备份等一些敏感信息.如图2所示,与市面上的WWWSCAN相比,其图形化的GUI界面不仅使用方便,而且其扫描字典是封装好的DLL,可以扩充修改.软件默认线程为3,以保证扫描时不会向目标网站怎么写作器发送过多的数据包,防止间接形成“”.

(2)Webshell爆破测试

暴力之一的Webshell可以帮助管理员利用攻击者的Webshell对自己的网站进行检查,并且追踪入侵者的形迹.如图3所示,Webshell爆破主要针对各种脚本的后门进行多线程.

4结束语

本文研究的漏洞检测软件可以对各种网站漏洞进行扫描和检测,并向网站管理员及渗透测试工程师提供网站可能存在的漏洞信息,为其漏洞修复提供了可靠、有效的使用工具.

相关论文范文