设计师兼职网站,高校门户网站建设,手机论坛网站源码,网站制作说明摘 要 现如今互联网已在世界范围内广泛的应用和发展#xff0c;特别是移动互联网Web 技术快速发展#xff0c;然而最近几年经常发生互联网用户信息泄露及财产损失问题#xff0c;网络安全漏洞严重威胁Web应用程序安全及互联网用户的网络使用安全#xff0c;因此现急需一…摘 要 现如今互联网已在世界范围内广泛的应用和发展特别是移动互联网Web 技术快速发展然而最近几年经常发生互联网用户信息泄露及财产损失问题网络安全漏洞严重威胁Web应用程序安全及互联网用户的网络使用安全因此现急需一种Web应用漏洞检测系统来保障Web应用的安全。本文设计并实现了基于爬虫的漏洞检测系统该系统使用WAMP集成环境MySQL数据库利用PHP结合HTML语言的混合框架结构开发完成为系统使用者提供一个界面友好对web应用漏洞的检测环境。设计开始首先调研了当前Web服务器所面临的常见漏洞威胁并进行分析再到系统开发环境、总体框架设计、业务流程、功能设计等几个方面进行系统的总体设计然后针对安全威胁开发隐私安全防护系统此系统的模块分为漏洞检测模块、漏洞防御模块、生成报告模块、菜单栏功能登录注册功能等通过此系统可以检测出黑客对网站进行的常见攻击使个人用户能够对漏洞进行了解和有效地防御从而提高数据隐私安全性。
关键词web安全漏洞检测数据隐私SQL注入 ABSTRACT Nowadays, the internet has been widely applied and developed worldwide, especially with the rapid development of mobile internet web technology. However, in recent years, there have been frequent issues of internet user information leakage and property damage. Network security vulnerabilities seriously threaten the security of web applications and internet users network usage. Therefore, there is an urgent need for a web application vulnerability detection system to ensure the security of web applications. This article designs and implements a vulnerability detection system based on a crawler. The system is developed using a WAMP integrated environment, MySQL database, and a hybrid framework structure of PHP and HTML language, providing a user-friendly web application vulnerability detection environment for system users. At the beginning of the design, we first investigated and analyzed the common vulnerabilities and threats faced by current web servers. Then, we carried out the overall design of the system from several aspects such as system development environment, overall framework design, business process, functional design, etc. Then, we developed a privacy and security protection system for security threats. The systems modules are divided into vulnerability detection module, vulnerability defense module, report generation module, menu bar function, login and registration function, etc, Through this system, common attacks by hackers on websites can be detected, enabling individual users to understand and effectively defend against vulnerabilities, thereby improving data privacy security.
Keywords: web security; Vulnerability detection; Data privacy; SQL injection 目 录
第1章 绪论 1.1 研究背景 1.2 国内外研究现状 1.3 课题研究内容和目的 第2章 系统分析 2.1 软件环境分析 2.2 系统功能分析 2.3 系统业务流程分析 第3章 系统设计 3.1 系统总体框架设计 3.2 漏洞检测模块设计 3.3 数据库设计 3.4 漏洞防御模块设计 3.5 生成报告模块设计 第4章 系统实现 4.1 登录注册功能实现 4.2 菜单栏功能实现 4.3 漏洞检测模块实现 4.4 漏洞防御模块实现 4.5 生成报告模块实现 第5章 系统测试 5.1 sql 注入漏洞检测 5.2 逻辑越权漏洞扫描 结论 参考文献 致谢 第1章 绪论 1.1 研究背景 当今移动互联网在全球范围内广泛应用在我们的生活中或多或少地会使用web应用及工具这些应用和工具给我们的生活带来了极大的便利。然而在网站浏览信息也常常会存在许多安全问题及安全威胁这给用户安全带来一定风险并且给一些互联网应用开发企业带来了巨大的安全隐患及财产损失。本课题通过研究基于网络爬虫的Web应用程序漏洞及其检测方法开始设计并实现web应用漏洞检测系统使其能高效检测常见的web漏洞并且能给出详细的检测报告其预期效果能便于开发人员及检测运维人员能尽早修复漏洞避免造成重要损失。 1.2 国内外研究现状 漏洞扫描器的研究与开发起源于国外一些国外学者提出静态源代码分析方法但是这种方法需要有web应用的源代码这限制了扫描工具的使用当前市面上使用主流的漏洞扫描工具这些工具使用的技术如网络爬虫技术但是没有良好的可扩展性一些开源的扫描工具像appscanawvs等这些开源工具一方面需要收费并且这些漏扫工具面向的都是一些企业公司且扫描结果不理想受众人群小所以需要一款受众人群更广的免费工具。 1.3 课题研究内容和目的 该系统利用一些前端技术及代码编程还有一些漏洞算法完成一个系统美观的漏洞扫描系统主要用到的技术有htmlMySQL数据库python及CMS框架。最后还有漏洞报告生成模块并对报告下载功能进行设计搭建提供报告下载功能。由于国内还缺少国产漏洞扫描系统。所以我们还需要学习并利用一些国外的技术原创打造属于国人自己的漏洞扫描工具。 第2章 系统分析 2.1 软件环境分析 此安全防护系统使用Wamp集成环境安装PHPstudy环境即可,该环境可以从官网上下载系统使用php和html语言混合开发在此环境基础上开发漏洞防护系统。 2.2 系统功能分析 该系统划分成了五个页面模块分别主页面模块、菜单栏页面、漏洞检测模块、测试报告页面、登录页面。前端页面使用iframe框架完成标签对框架进行了划分。其中菜单栏模块为系统所有功能模块的链接用于用户漏洞检测选项的选择及操作页面。 主页面模块为整个系统的主控模块用于用户交互及交互完成之后的信息展示在此系统可以进行常见漏洞检测如sql注入、命令执行、xss、CSRF、文件上传等漏洞通过检测可以很快找出网站具有哪些漏洞并根据所找出的漏洞生成检测报告并在报告中介绍漏洞的防御手段。 2.3 系统业务流程分析 首先打开Chrome浏览器输入系统URL登录系统进入主页面建立新的扫描项目开始扫描等待扫描结果完成可以查看扫描结果另外可以导出报告最后退出。 图2.1系统业务流程图 第3章 系统设计 3.1 系统总体框架设计 系统功能模块如图3.1所示。 图 3.1 系统功能模块图 系统总体页面框架结构采用了IFRAME框架进行设计设计框架如图3.2所示。 图 3.2总体页面框架 index.php 为主框架文件负责控制整个平台的框架布局通过此文件的frameset标签系统整个页面分成了5个部分所有文件都存放在根目录下如图 3.3所示。 图3.3 前端页面文件 3.2 漏洞检测模块设计 漏洞检测模块分为最开始的建立扫描项目之后根据个人需求选择扫描选项如扫描的速度快慢何种扫描方式扫描的各种配置等。另外在扫描过程中内部的算法分为SQL注入漏洞xssCSRFssrf无效的访问控制漏洞等一些常见的漏洞扫描。 3.3 数据库设计 系统在开发设计过程中创建了security数据库其中admin表为登陆注册用表。数据库各表如图 3.4 所示。
图3.4 数据库配置设计
admin表为用户表可用于用户登陆系统。表结构如下表3.1所示。 表3.1 admin表 字段名称类型约束条件字段说明 idINT主键非空自增用户id usernamevarchar(20)非空用户名 passwordvarchar(20)非空用户密码
member表为SQL注入漏洞检测使用表用于sql模块的字符型get型注入、数字型注入post注入、布尔盲注、报错注入时间盲注等表结构如下表3.2所示。 表3.2 member表 字段名称类型约束条件字段说明 idINT主键非空自增用户序号 useridINT非空用户id ipaddressvarchar(50)非空用户地址 useragentvarchar(255)非空用户浏览器信息 httpacceptvarchar(255)非空用户http头信息 remoteportvarchar(255)非空用户提交信息
user表为xss漏洞使用表用于反射性注入的环境表结构如下表3.3所示。 表3.3 user表 字段名称类型约束条件字段说明 idINT主键非空自增用户id timetimestamp非空用户时间 ipaddressvarchar(50)非空用户地址 字段名称类型约束条件字段说明 cookievarchar(1000)非空用户cookie referervarchar(1000)非空用户返回信息 useragentvarchar(1000)用户浏览器信息
httpinfo表为跨站请求伪造漏洞使用表表结构如下表3.4所示。 表3.4 httpinfo表 字段名称类型约束条件字段说明 idINT主键非空自增用户id usernamevarchar(20)非空用户名 pwvarchar(20)非空用户密码 sexvarchar(2)非空用户性别 phonenumvarchar(20)非空用户电话 addressvarchar(50)非空用户地址 emailvarchar(20)非空用户邮箱 double_sql表为逻辑越权漏洞使用表表结构如下表3.5所示。 表3.5 double_sql表 字段名称类型约束条件字段说明 idINT主键非空自增用户id usernamevarchar(20)非空用户名 passwordvarchar(20)非空用户密码 levelINT非空用户等级 fish表为文件上传漏洞检测使用表fish表结构如下表3.6所示。 表3.6 fish表 字段名称类型约束条件字段说明 idINT主键非空自增用户id timetimestamp非空用户时间 usernamevarchar(20)非空用户名 passwordvarchar(20)非空用户密码 referervarchar(1000)非空用户返回信息
3.4漏洞防御模块设计 该系统提供的漏洞防御模块管理能够使用户优先安排和管理漏洞。在检测出的漏洞的基础上展示他们的类型和严重程度。用户更容易识别的最严重漏洞以及需要立即引起的注意。用户可以选择一个漏洞查看其详情。这可以得到更多的信息漏洞和如何可以防御这些漏洞。 该模块还可以标记的漏洞作为固定的或误报。可以生成的报告和重新测试如果需要的话。此外还可以导出问题跟踪。 3.5 生成报告模块设计 设计该模块产生的的报告类型受影响的项目的报告显示的文件和地点。报告显示的严重程度的脆弱性检测到与其他详细信息关于漏洞如何被检测到。 综合报告 报告中提供全面信息的开发报告并生成一个更简洁的格式添加一个图形部分的统计数据。 每个漏洞每个HTTP提出请求的目标是伴随着HTTP响应接收。HTML格式允许创造可让用户拓展使用户更加友好。与此相反PDF格式是一个静态的格式。
