检测结果,测试结果表明WEBSCAN能够快速高效检测Web应用中存在的SQL注入、XXS攻击、整数溢出、URL重定向和格式化字符串漏洞。本文实现了项目需求中所要求的各种基本功能,能够检测常见的网站漏洞,以便网站开发人员能够对网站存在的漏洞及时修改,目前该系统己经集成到TOPIDP—V5版本中,能够稳定运行并且性能良好。若要成为一款专业的网站漏洞扫描软件,WEBSCAN还有许多待改进之处,除了能够高效准确的检测到网站存在的各种漏洞外,还必须具有良好的扩展性能以及专业的安全评估建议。良好的扩展性能便于检测新型漏洞,专业的安全评估建议可以为不具备网站安全知识的程序开发、管理人员提供帮助。本项目仍有许多功能需要完善和丰富,具体如下:
(1)采用插件扩展技术实现新型漏洞的检测。目前大部分漏洞扫描工具只能检测某些特定类型漏洞,但是却无法检测不断出现的新型漏洞,因此可以将各种漏洞的检测封装在插件中,当出现新型漏洞时,主程序只需要调用具有新型漏洞检测功能的插件即可完成对新型漏洞的检测,采用插件技术使得网站漏洞扫描软件的升级或者维护变得相对容易。
(2)建立Web应用安全专家评估系统。WEBSCAN只能负责检测漏洞,将检测结果简单的罗列,并没有提出具体解决方案,因此可以针对具体漏洞的解决方案提
