漏洞网站漏洞检测软件的设计与应用

网站漏洞检测  时间:2021-04-27  阅读:()

网站漏洞检测软件的设计与应用

【摘要】 本文主要研究一种网站漏洞检测软件可以对网站的各种危险漏洞进行全面的扫描、检测和分析从而帮助网站管理员有的放矢地对网站漏洞进行修补。

【关键词】 网站漏洞扫描检测

1 引言

随着社会信息化程度不断提高 网络及其信息系统面临的安全威胁日益突出。 10年前黑客入侵主要是对计算机端口的入侵而现在则通过Web进行入侵。当黑客得到Webshell时就可以进一步“提权”获取服务器控制权从而为所欲为地进行各种破坏活动 带来难以预料的损失。本文主要研究并实现了一款网站漏洞检测软件。针对各种不同脚本的网站漏洞进行分析并进行漏洞扫描和检测 同时协助网站管理员及时掌握自身网站漏洞信息有的放矢地进行修补确保访问者和网站自身的信息安全。

2 网站漏洞类型分析

由于Web应用程序的开发者在编写代码的时候没有对用户输入数据或页面信息如Cookie进行必要的合法性判断导致了攻击者利用这个编程漏洞来入侵数据库或者植入木马那么后果将不堪设想。根据漏洞利用成功后攻击者获取的网站权限大小可以将漏洞分为三类 高危漏洞、 中危漏洞和低危漏洞。

1高危漏洞包括S QL注入漏洞、XSS跨站脚本漏洞、

1/6

页面存在源代码泄露、 网站存在备份文件、 网站存在包含SVN信息的文件、 网站存在Resin任意文件读取漏洞以及服务器安装的第三方软件。

2 中危漏洞包括网站存在目录浏览漏洞、 网站存在Phpinfo文件、网站存在服务器环境探针文件、网站存在日志信息文件、 网站存在JSP示例文件。

3低危漏洞包括页面上存在网站程序的调试信息、 网站存在后台登录地址、 网站存在服务端统计信息文件、 网站存在敏感目录。

对于上述网站漏洞常用的漏洞扫描工具有J S KY、WVS、APPSACN等通常都是需要付费的 即使有破解版的也多半被捆绑病毒。 与之相比本文研究的网站漏洞检测软件除具备上述软件的基本扫描功能之外还增加了一些其他功能 以方便测试者使用。

3漏洞检测软件的设计

在对网站漏洞总结分析的基础上将软件划分为10个功能模块分别是编码加密模块、浏览器模块、注入模块、Spider模块、XSS攻击检测模块、Web敏感目录扫描模块、 IP端口扫描模块、Webinfo检测模块、暴力破解密码模块、其他辅助功能模块等。如图1所示。

主要功能模块介绍。

1 编码解码加密模md5加密、Base64、HEX、UTF-7、ASCII、URL编码解码等功能可以帮助管理员在修补漏洞、测试其网站密码的强弱时提供便利。

2/6

2 浏览器模块 x-fo rwo r d获取与修改、 REF获取与修改、 cookie获取与修改帮助管理员测试cookies欺骗、抓包上传等相关漏洞。

3 注入模块检测网站是否存在S QL注入漏洞。包含三种注入检测数据提交方法 get、 post和cookies注入。目前通用的防注入系统对GET和POST注入进行了过滤而未对cookies注入进行过滤 因而导致了部分网站被黑。

4 Spider模块爬行整个Web的架构 旨在加强扫描网站的结构并判断是否存在敏感信息、 目录或文件的暴漏等问题。

5 XSS检测模块扫描网站程序是否存在XSS漏洞主要检测反射型和存储型跨站。

6 Web敏感目录扫描模块对网站低危漏洞进行测试扫描网站后台、上传地址、 网站备份等敏感信息。

7 IP端口扫描模块扫描网站及网站C段的端口以发现Web服务器开放的特殊端口。

8 Webinfo检测模块查询网站的WHOIS地理位置等信息 同时提醒网管对网站的注册信息进行狭义的社工 以确保自身及网站的安全。

9 爆力破解模块Webshell密码爆破、 SHH密码爆破、Telnet密码爆破、MSSQL密码爆破、MYSQL密码爆破帮助管理员测试系统安装的第三方软件是否存在弱口令漏洞。

10 其他辅助功能模块提供白盒测试、数据库连接

3/6

等功能。

值得一提的是本软件是由用户根据需要自行选择扫描模块的。例如如果用户选择了S QL注入检测功能那么程序就会分析网站是否存在带参数动态脚本如果存在就抓取网站所有链接进行SQL注入检测反之提示用户网站为动态脚本。

3软件的应用测试

本软件是在Win7 X86下用.NET 4.0进行测试的 下面列出一些模块的应用测试情况。

1Web 目录扫描模块测试

Web 目录扫描模块主要对网站的敏感目录进行扫描如网站后台路径、 网站编辑器路径、 网站备份等一些敏感信息。如图2所示与市面上的WWW S C AN相比其图形化的GU I界面不仅使用方便而且其扫描字典是封装好的D LL可以扩充修改。软件默认线程为3 以保证扫描时不会向目标网站服务器发送过多的数据包 防止间接形成“DDOS攻击”。

2Webshell爆破测试

暴力破解之一的Webshell破解可以帮助管理员利用攻击者的Webshell对自己的网站进行检查并且追踪入侵者的形迹。如图3所示Webshell爆破主要针对各种脚本的黑客后门进行多线程密码破解。

4结束语

本文研究的漏洞检测软件可以对各种网站漏洞进行扫描和检测并向网站管理员及渗透测试工程师提供网站可能存

4/6

在的漏洞信息为其漏洞修复提供了可靠、有效的使用工具。

参考文献

[1]王良.漏洞扫描系统设计与应用[J].信息安全与技术

2011.2-3 44-46.

[2]赵振国蔡皖东.网络漏洞扫描器的设计与实现[J].微电子学与计算机 2005 22 4  122-125.

[3]GB/T 20278-2006 《信息安全技术网络脆弱性扫描产品技术要求》 .

[4]魏为民袁仲雄.网络攻击与防御技术的研究与实践[J].信息网络安全 2012 12  53-56.

[5]张驰罗森林.网页内容安全快速信息抽取方法[J].信息网络安全 2012 10  20-22.

作者简介

喻钧1970- 女重庆人 副教授研究方向 网络安全与信息对抗技术。

季靖1989-  男陕西汉中人本科研究方向 网络与信息安全。

李景涛1992-  男陕西榆林人本科研究方向 网络与信息安全。

闫涛1991-  男 山西运城人本科研究方向 网络与信息安全。

邢何东1990-  男陕西西安本科研究方向 网络与信息安全。

5/6

(function() {var s=;do c ume n t.write();

(window.slotbydup=window.slotbydup | | []).push({id: “u3977817” ,container: s

});

})();

网站漏洞检测软件的设计与应用相关推荐

6/6

华纳云,3折低至优惠云服务器,独立服务器/高防御服务器低至6折,免备案香港云服务器CN2 GIA三网直连线路月付18元起,10Mbps带宽不限流量

近日华纳云发布了最新的618返场优惠活动,主要针对旗下的免备案香港云服务器、香港独立服务器、香港高防御服务器等产品,月付6折优惠起,高防御服务器可提供20G DDOS防御,采用E5处理器V4CPU性能,10Mbps独享CN2 GIA高速优质带宽,有需要免备案香港服务器、香港云服务器、香港独立服务器、香港高防御服务器、香港物理服务器的朋友可以尝试一下。华纳云好不好?华纳云怎么样?华纳云服务器怎么样?...

无视CC攻击CDN ,DDOS打不死高防CDN,免备案CDN,月付58元起

快快CDN主营业务为海外服务器无须备案,高防CDN,防劫持CDN,香港服务器,美国服务器,加速CDN,是一家综合性的主机服务商。美国高防服务器,1800DDOS防御,单机1800G DDOS防御,大陆直链 cn2线路,线路友好。快快CDN全球安全防护平台是一款集 DDOS 清洗、CC 指纹识别、WAF 防护为一体的外加全球加速的超强安全加速网络,为您的各类型业务保驾护航加速前进!价格都非常给力,需...

EtherNetservers年付仅10美元,美国洛杉矶VPS/1核512M内存10GB硬盘1Gpbs端口月流量500GB/2个IP

EtherNetservers是一家成立于2013年的英国主机商,提供基于OpenVZ和KVM架构的VPS,数据中心包括美国洛杉矶、新泽西和杰克逊维尔,商家支持使用PayPal、支付宝等付款方式,提供 60 天退款保证,这在IDC行业来说很少见,也可见商家对自家产品很有信心。有需要便宜VPS、多IP VPS的朋友可以关注一下。优惠码SUMMER-VPS-15 (终身 15% 的折扣)SUMMER-...

网站漏洞检测为你推荐
对开展广场舞活动所产生的噪音,深圳市富满电子集团股份有限公司债券127contentcss设置win7支持ipad支持ipad支持ipad支持ipadpublicationethics.org
新秒杀 softbank官网 英文简历模板word 鲜果阅读 512au 线路工具 标准机柜尺寸 mysql主机 彩虹ip 河南服务器 工信部icp备案号 hkt 免费dns解析 搜索引擎提交入口 网游服务器 web服务器安全 www789 阿里云邮箱申请 睿云 亿库 更多