网站漏洞检测软件的设计与应用

【摘 要】本文主要研究一种网站漏洞检测软件,可以对网站的各种危险漏洞进行全面的扫描、检测和分析,从而帮助网站管理员有的放矢地对网站漏洞进行修补.


【关 键 词】网站漏洞;扫描;检测

1引言

随着社会信息化程度不断提高,网络及其信息系统面临的安全威胁日益突出.10年前,入侵主要是对计算机端口的入侵,而现在则通过Web进行入侵.当得到Webshell时,就可以进一步“提权”获取服务器控制权,从而为所欲为地进行各种破坏活动,带来难以预料的损失.本文主要研究并实现了一款网站漏洞检测软件.针对各种不同脚本的网站漏洞进行分析,并进行漏洞扫描和检测,同时协助网站管理员及时掌握自身网站漏洞信息,有的放矢地进行修补,确保访问者和网站自身的信息安全.

2网站漏洞类型分析

由于Web应用程序的开发者在编写代码的时候,没有对用户输入数据或页面信息(如Cookie)进行必要的合法性判断,导致了攻击者利用这个编程漏洞来入侵数据库或者植入木马,那么后果将不堪设想.根据漏洞利用成功后攻击者获取的网站权限大小,可以将漏洞分为三类:高危漏洞、中危漏洞和低危漏洞.

(1)高危漏洞包括SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞以及服务器安装的第三方软件.

(2)中危漏洞包括网站存在目录浏览漏洞、网站存在Phpinfo文件、网站存在服务器环境探针文件、网站存在日志信息文件、网站存在JSP示例文件.

(3)低危漏洞包括页面上存在网站程序的调试信息、网站存在后台登录地址、网站存在服务端统计信息文件、网站存在敏感目录.

对于上述网站漏洞,常用的漏洞扫描工具有JSKY、WVS、APPSACN等,通常都是需要付费的,即使有版的也多半被捆绑病毒.与之相比,本文研究的网站漏洞检测软件除具备上述软件的基本扫描功能之外,还增加了一些其他功能,以方便测试者使用.

3漏洞检测软件的设计

在对网站漏洞总结分析的基础上,将软件划分为10个功能模块,分别是编码加密模块、浏览器模块、注入模块、Spider模块、XSS攻击检测模块、Web敏感目录扫描模块、IP端口扫描模块、Webinfo检测模块、暴力模块、其他辅助功能模块等.如图1所示.

主要功能模块介绍.

(1)编码解码加密模:md5加密、Base64、HEX、UTF-7、ASCII、URL编码解码等功能,可以帮助管理员在修补漏洞、测试其网站的强弱时提供便利.

(2)浏览器模块:x-forword获取与修改、REF获取与修改、cookie获取与修改,帮助管理员测试cookies欺骗、抓包上传等相关漏洞.

(3)注入模块:检测网站是否存在SQL注入漏洞.包含三种注入检测数据提交方法:get、post和cookies注入.目前通用的防注入系统,对GET和POST注入进行了过滤而未对cookies注入进行过滤,因而导致了部分网站被黑.

(4)Spider模块:爬行整个Web的架构,旨在加强扫描网站的结构,并判断是否存在敏感信息、目录或文件的暴漏等问题.

(5)XSS检测模块:扫描网站程序是否存在XSS漏洞,主要检测反射型和存储型跨站.

(6)Web敏感目录扫描模块:对网站低危漏洞进行测试,扫描网站后台、上传地址、网站备份等敏感信息.

(7)IP端口扫描模块:扫描网站及网站C段的端口,以发现Web服务器开放的特殊端口.

(8)Webinfo检测模块:查询网站的WHOIS,地理位置等信息,同时提醒网管对网站的注册信息进行狭义的社工,以确保自身及网站的安全.

(9)爆力模块:Webshell爆破、SHH爆破、Tel爆破、MSSQL爆破、MYSQL爆破,帮助管理员测试系统安装的第三方软件是否存在弱口令漏洞.

(10)其他辅助功能模块:提供白盒测试、数据库连接等功能.

值得一提的是,本软件是由用户根据需要自行选择扫描模块的.例如,如果用户选择了SQL注入检测功能,那么程序就会分析网站是否存在带参数动态脚本,如果存在,就抓取网站所有链接进行SQL注入检测,反之提示用户网站为动态脚本.

3软件的应用测试

本软件是在Win7X86下用.NET4.0进行测试的,下面列出一些模块的应用测试情况.

(1)Web目录扫描模块测试

Web目录扫描模块主要对网站的敏感目录进行扫描,如网站后台路径、网站编辑器路径、网站备份等一些敏感信息.如图2所示,与市面上的WWWSCAN相比,其图形化的GUI界面不仅使用方便,而且其扫描字典是封装好的DLL,可以扩充修改.软件默认线程为3,以保证扫描时不会向目标网站服务器发送过多的数据包,防止间接形成“”.

(2)Webshell爆破测试

暴力之一的Webshell可以帮助管理员利用攻击者的Webshell对自己的网站进行检查,并且追踪入侵者的形迹.如图3所示,Webshell爆破主要针对各种脚本的后门进行多线程.

4结束语

本文研究的漏洞检测软件可以对各种网站漏洞进行扫描和检测,并向网站管理员及渗透测试工程师提供网站可能存在的漏洞信息,为其漏洞修复提供了可靠、有效的使用工具.

类似论文

计算机软件安全漏洞检测技术探究

摘 要:随着现代化信息网络的不断发展,电子商务已经成为企业市场的主要支撑点 计算机软件的发展日趋。
更新日期:2024-1-19 浏览量:21164 点赞量:6148

计算机漏洞检测与修复系统的设计与实现

摘 要:该文以微软Windows操作系统为例,研究了计算机漏洞的相关特性,分析了补丁的管理流程和策略,设计实现了计算机系统。
更新日期:2024-7-19 浏览量:96075 点赞量:21704

计算机软件中安全漏洞检测技术的应用

摘 要 :软件是网络技术和计算机赖以生存的基石,安全算法、网络通信、操作系统等都以通过计算机软件的方式来存&。
更新日期:2024-9-8 浏览量:19268 点赞量:5968

计算机软件的漏洞检测与更新

摘 要:随着电子信息在21世纪初期给世界带来的革命性的影响,计算机软件技术的应用已经普及到了几乎每一个行业 从简单的超市结算到。
更新日期:2024-2-27 浏览量:33646 点赞量:8448

软件漏洞检测系统的设计

摘 要:结合fuzzing技术、API序列特征匹配技术及特征函数参数检测技术等,开发研究了一种新的软件漏洞检测系统 能有效发掘Wind。
更新日期:2024-8-25 浏览量:106490 点赞量:23042

计算机软件安全漏洞检测技术与应用

摘 要:如今,计算机信息网络已经在各个领域得到了广泛应用,并逐步改变着人们的工作、学习和生活方式。
更新日期:2024-5-8 浏览量:13924 点赞量:4757

计算机软件中安全漏洞检测技术

摘 要随着计算机技术的发展,不断地丰富着人们的生活,为人们生活而服务,可见信息技术在人们生活中所取得的。
更新日期:2024-4-8 浏览量:11984 点赞量:4151