Web应用漏洞扫描系统被引量：4

Web Application Vulnerabilities Scan System

下载PDF

导出

摘要首先介绍了Web应用漏洞安全的严峻形式和对漏洞扫描系统的急切需求,接着分析了扫描系统的实现原理,研究和总结了SQL注入漏洞、XSS漏洞、上传文件漏洞等常见漏洞的检测技术.在此基础上,设计了Web应用漏洞扫描系统的各个模块,最后的通过实验结果表明该系统设计的可行性. First the paper analyzes severe situations of Web application vulnerabilities security and urgent requirements of Web application vulnerability detection technology. Then it analyzes the working principle of the scanning system, studies and summarizes detection methods of SQL injection, XSS and uploads file vulnerability. Based on those achievements, a system infrastructure of Web application vulnerability scanner is designed. The final experimental testing results prove the feasibility of the system design.

作者王扬品程绍银蒋凡

机构地区中国科学技术大学计算机科学与技术学院

出处《计算机系统应用》 2015年第12期58-63,共6页 Computer Systems & Applications

关键词 WEB应用漏洞扫描 SQL注入 XSS Web application vulnerabilities scan SQL injection XSS

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献10

1360互联网安全中心.2014年中国网站安全报告.[2015-03-22]. http://webscan.360.cn, 2015-1-8.
2CNCERT/CC.CNCERT互联网安全威胁报告-2015年1月.[2015-03-22]. http://www.cert.org.cn, 2015-3-6.
3李必云,石俊萍.Web攻击及安全防护技术研究[J].电脑知识与技术,2009,5(11):8647-8649. 被引量：7
4Takanen A, Demott JD, Miller C. Fuzzing for software security testing and quality assurance. Artech House, 2008.
5齐富民,谢晓尧,徐洋.基于模糊理论的Web安全评估模型[J].计算机应用研究,2014,31(6):1883-1888. 被引量：4
6OWASP T. Top 10-2013. The Open Web Application Security Project, 2013.
7Kemalis K, Tzouramanis T. SQL-IDS: a pecification-based approach for SQL-injection detection. Proc. of the 2008 ACM Symposium on Applied Computing. ACM, 2008:2153 -2158.
8彭赓,范明钰.基于改进网络爬虫技术的SQL注入漏洞检测[J].计算机应用研究,2010,27(7):2605-2607. 被引量：19
9刘奇旭,温涛,闻观行.Flash跨站脚本漏洞挖掘技术研究[J].计算机研究与发展,2014,51(7):1624-1632. 被引量：9
10周开东,魏理豪,王甜,邹洪,崔磊,刘亚琼.远程文件包含漏洞分级检测工具研究[J].计算机应用与软件,2014,31(2):21-23. 被引量：4

二级参考文献56

1刘波,刘惠,胡华平,黄遵国.计算机漏洞库系统的设计、实现与应用[J].计算机工程与科学,2004,26(7):31-33. 被引量：12
2刘凯,曹剑光,谢政.在应用层次上保证Web Server的安全[J].计算机应用,2004,24(B12):45-46. 被引量：3
3蔡昱,张玉清,冯登国.基于GB17859-1999标准体系的风险评估方法[J].计算机工程与应用,2005,41(12):134-137. 被引量：4
4王鹃,李俊娥,刘珺.一种基于Proxy的Web应用安全漏洞检测方法及实现[J].武汉大学学报（工学版）,2005,38(5):135-140. 被引量：6
5陈小兵,张汉煜,骆力明,黄河.SQL注入攻击及其防范检测技术研究[J].计算机工程与应用,2007,43(11):150-152. 被引量：72
6National Vulnerability Database.National vulnerability database(NVD) CVE statistics[EB/OL].(2009-12).http://web.nvd.nist.gov/view/vuln/statistics-results?cid=4.
7OWASP.Top 10 2007[EB/OL].(2009-11).http://www.owasp.org/index.php/Top_10_2007.
8BANDHAKAVI S,BISHT P,MADHUSUDAN P,et al.CANDID:preventing SQL injection attacks using dynamic candidate evaluations[C] //Proc of the 14th ACM Conference on Computer and Communications Secirity.New York:ACM Press,2007:12-24.
9FRIEDL J E F.Mastering regular expressions[M].2nd ed.[S.l.] :O'Reilly Media Inc,2005:10-21.
10PESSOA J.Detecting SQL injection vulnerabilities in Web services[C] //Proc of the 4th Latin-American Symposium on Dependable Computing.Joao Pessoa,Brazil:IEEE Computer Society,2009:17-24.

共引文献37

1高洪涛.SQL注入攻击途径及策略分析[J].网络安全技术与应用,2011(3):14-16. 被引量：10
2龙娟.Web站点安全评估研究[J].通信技术,2011,44(8):130-132. 被引量：4
3王嘉延.Web应用生命周期安全防护探讨[J].计算机安全,2011(10):76-79. 被引量：1
4张彩华.浅析ASP网站中SQL注入的防范措施[J].黑龙江科技信息,2012(4):92-92.
5马凯,蔡皖东,姚烨.Web2.0环境下SQL注入漏洞注入点提取方法[J].计算机技术与发展,2013,23(3):121-124. 被引量：6
6许士东,蒋国伟,郭君,马建荣.基于站群模式的安全监测研究[J].网络安全技术与应用,2014(2):117-118. 被引量：1
7孙青云,王俊峰,赵宗渠,高梦超.一种基于模拟登录的微博数据采集方案[J].计算机技术与发展,2014,24(3):6-10. 被引量：30
8张鑫,张婷,段新东,林玉香.Web应用SQL注入漏洞检测工具的设计与实现[J].信息安全与技术,2014,5(8):45-47. 被引量：3
9杜雷,辛阳.基于规则库和网络爬虫的漏洞检测技术研究与实现[J].信息网络安全,2014(10):38-43. 被引量：11
10陈悦,蔡满春,李璟莹.SQL注入的“拖库”攻击与防范[J].网络安全技术与应用,2015(7):22-23. 被引量：1

同被引文献25

1吕镇邦,张军才,张军.网络安全漏洞扫描与脆弱性分析研究[J].航空计算技术,2005,35(2):118-121. 被引量：6
2张振亚,王进,程红梅,王煦法.基于余弦相似度的文本空间索引方法研究[J].计算机科学,2005,32(9):160-163. 被引量：49
3朱玉文,刘俐,杨家宁,刘万春.基于模型的有限状态机软件动态测试方法[J].北京化工大学学报（自然科学版）,2007,34(A01):119-123. 被引量：1
4倪评福,吴作顺.Web应用扫描器评估标准的研究[J].计算机技术与发展,2013,23(3):139-142. 被引量：2
5池水明,阚歆炜,张旻.基于Simhash的SQL注入漏洞检测技术研究[J].计算机时代,2014(3):3-5. 被引量：3
6杨文林,谭曦,郭俊廷,王硕.Docker脆弱性分析与安全增强[J].信息安全与技术,2016,7(4):21-23. 被引量：9
7张鑫,张婷,段新东,林玉香.Web应用SQL注入漏洞检测工具的设计与实现[J].信息安全与技术,2014,5(8):45-47. 被引量：3
8韦存堂,赵晶玲,崔宝江.基于代理模式的SQL注入漏洞检测技术研究[J].信息网络安全,2014(11):66-69. 被引量：2
9张珊珊,肖禹,詹雪东,范晓喻,邢芳,杜春来.针对门户网站SQL注入漏洞软件的设计与实现[J].数字技术与应用,2014,32(11):189-189. 被引量：1
10韩心慧,王东祺,陈兆丰,张慧琳.云端Web服务器敏感数据保护方法研究[J].清华大学学报（自然科学版）,2016,56(1):51-57. 被引量：7

引证文献4

1刘小凯,方勇,黄诚,刘亮.基于有限状态机的Web漏洞扫描器识别研究[J].信息安全研究,2017,3(2):123-128. 被引量：3
2魏兴慎,苏大威,屠正伟,刘苇,祁龙云,吕小亮,杨斌.SecDr:一种内容安全的Docker镜像仓库[J].计算机与现代化,2018(5):70-73. 被引量：1
3曾得豪,梁永霖,夏楠.基于CMS指纹的漏洞扫描框架Poceye的设计[J].电脑知识与技术,2018,14(6):25-26.
4叶梦雄.基于Web的SQL注入漏洞扫描系统的设计研究[J].电子设计工程,2019,27(16):20-23. 被引量：5

二级引证文献9

1刘春玲,张括,谢孟晨,王春武,王立忠.基于有限状态机法的计算器设计与教学效果研究[J].高师理科学刊,2017,37(5):74-76. 被引量：2
2吴涛,张俊.基于B/S系统的SQL注入防御技术研究[J].电脑知识与技术,2020,16(2):7-8. 被引量：4
3诸珺文.基于改进BP神经网络的SQL注入识别[J].计算机科学,2020,47(S01):352-359. 被引量：2
4文春生,唐阳华.基于Web环境的网站渗透测试技术探究[J].湖南科技学院学报,2020,41(5):44-48. 被引量：1
5赵男男,李佳.云计算下多属性信息交换安全漏洞识别仿真[J].计算机仿真,2021,38(7):437-441. 被引量：1
6靳建宇.基于Web技术的漏洞扫描系统在企业安全中的应用[J].现代信息科技,2021,5(13):136-138. 被引量：2
7颜天佑,卢灏.基于端口扫描的变电站主机漏洞检测系统[J].信息安全研究,2022,8(2):182-189. 被引量：4
8刘瑞宁.SQL注入攻击防御策略的研究[J].信息记录材料,2022,23(9):141-143. 被引量：1
9谢超群.高校数据中心Docker容器应用的安全体系设计[J].网络安全技术与应用,2019(5):53-55. 被引量：3

1蓝孤,狂人.动网论坛漏洞新体验[J].电击高手,2004(7):84-85.
2张昊,屈晔,杨春晖.Web应用系统软件信息安全技术研究[J].电子产品可靠性与环境试验,2008,26(1):45-47. 被引量：5
3刘艳宇.Web应用程序常见漏洞分析与对策[J].福建电脑,2005,21(9):60-61.
4原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护,2014(2):68-69. 被引量：2
5刘颖,王丽菊.Web应用程序常见漏洞研究[J].计算机光盘软件与应用,2011(21):63-63.
6伍班权.清除PC中的安全漏洞[J].办公自动化,2005(6):30-30.
7陈华.浅谈SQL Server2005常见漏洞的屏蔽[J].电脑开发与应用,2011,24(6):69-70.
8匡增荣.ASP的安全防护[J].电脑学习,2008(4):59-60.
9赵龙厚.浅谈数据库系统安全中的常见漏洞[J].中国高新技术企业,2008(5):99-99.
10王松,苏文萍.Web网站常见漏洞及防御策略研究[J].软件工程师,2013(9):42-44.

计算机系统应用

2015年第12期

浏览历史

内容加载中请稍等...

Web应用漏洞扫描系统被引量：4

参考文献10

二级参考文献56

共引文献37

同被引文献25

引证文献4

二级引证文献9

相关作者

相关机构

相关主题

浏览历史

Web应用漏洞扫描系统 被引量：4

参考文献10

二级参考文献56

共引文献37

同被引文献25

引证文献4

二级引证文献9

相关作者

相关机构

相关主题

浏览历史

Web应用漏洞扫描系统被引量：4