软件工程硕士论文范文篇一
1引言
互联网时代,信息的传递与共享越来越依靠网络,互联网在给人们生活提供便利的同时,也带来许多挑战和日益突出的网络安全问题。作为互联网发展关键的Web应用系统,其安全问题也越来越突出,本文设计的网络漏洞扫描软件WEBSCAN,能够高效检测Web应用系统常见类型漏洞、保证Web应用系统安全。
1. 1项目背景
Web应用系统在电子商务、企业门户网站、社交网站、网上金融交品等各个领域都得到了广泛应用,为人们生活提供了便利,但随之而来的是许多不法分子纷纷将牟利的黑手伸向互联网,导致近年来网络安全事件频发,尤其是针对Web应用的攻击次数大幅度上升⑴。网站在运营过程中会遭到各种各样的非法攻击,从而导致网站异常甚至无法运营,致使企业蒙受巨大的经济和信誉损失,同时损害网站用户的切身利益。2011年12月22日,国家互联网应急中心发布了《关于CSDN中文社区用户账号号密码泄露的安全公告》,该报告指出CSDN中文社区大量用户账号和明文密码遭泄露的情况:截至12月9日,通过公幵渠道获得疑似泄露的数据库有26个,涉及账号、密码2.78亿条,其中具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断与网站、论坛关联性的数据库有14个,涉及数据1.42亿条。大量用户信息被泄露,这些信息可以被黑客用来发送虚假、欺诈信息,严重危害用户个人隐私以及个人财产安全。
据中国互联网信息中心发布的《中国互联网络发展状况统计报告》显示:截至2011年12月,中国域名总数为775万个,网站数目230万个,网民总数5.13亿,互联网的普及率达到38.3%。中国网站安全状况不容乐观,有2.17亿网民曾经遭遇病毒或木马攻击,占网民总数的44.7%;有1.21亿网民的账号或密码曾经被盗过,占网民总数的24.9%;有3880万网民曾经遇到网上消费欺诈,占网民总数的7%。如此庞大数目的用户依赖于Web应用系统提供的各种开放的信息共享服务,加之Web应用系统的易开发性,使得Web应用安全形势越来越严峻。据全球著名IT研究与顾问咨询公司Gartner的最新调查表明,目前3/4以上的攻击行为都针对Web应用层面而非网络层面,而2/3的Web站点都十分脆弱,容易受到各种各样的攻击[2]。因此,Web应用安全成为人们关注的网络安全核心问题之一。
1.2项目意义与目的
传统的网络安全是部署防火墙、IDP/IPS等传统的网络安全设备保护企业服务器或者用户主机的安全。为了确保数据能够安全地传送到服务器或者个人主机,企业通常会采用SSL加密传输数据,并设定一定的身份验证机制来确保用户能够访问Web应用,企业也可以采用Web防火墙保Web应用的安全,但是由于Web应用系统开发人员网络安全意识不强或者项目开发时间不足等原因造成Web应用程序本身存在大量漏洞是无法避免的,由此导致网页篡改、网页挂马、机密数据外泄等网站安全事件频发。网站遭受攻击不仅直接冲破企业应用的安全底线,损害企业的社会形象,导致客户流失,而且关系到每个网民的切身利益。常见的Web攻击分为两类:一类是利用Web服务器漏洞进行攻击,例如CGI缓冲区溢出、目录遍历漏洞等;另一类是利用Web应用自身的安全漏洞进行攻击,如SQL注入、XSS攻击等。因此,本文针对Web应用自身的漏洞问题设计了一款高效简易的网站漏洞扫描软件WEBSCAN,它能检测某些具有扫描权限网站的SQL注入、XSS攻击、URL重定向、格式化字符串、整数溢出等漏洞类型,并分类和统计漏洞检测结果,将检测结果生成一份漏洞检测报告,为网站开发或者维护人员提供参考,保证Web应用安全。WEBSCAN是本人实习公司IPS产品部TOMDP—V5版本下的一个功能模块,IPS(Intrusion Prevention System)即入侵预防系统,是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有危害性的网络资料传输行为的设备,是对防病毒软件和防火墙的补充。WEBSCAN作为TOPIDP—V5的子模块,不仅能够帮助企业对内网的Web应用程序进行安全检测与评估,而且能够帮助程序开发人员及时修改Web应用存在的安全漏洞。
2 WEBSCAN相关技术
WEBSCAN作为一款漏洞检测工具,要准确检测网站存在的各种常见类型漏洞,必须能够完整地爬虫整个网站结构,还要能够对网站每个节点分别进行攻击检测,才能确定网站是否含有某种类型漏洞。因此,本章主要比较分析几种主流爬虫技术,分析常见类型漏洞的形成原因及其危害,并比较各种漏洞检测方法,确定最优的漏洞检测方案。
2. 1网络爬虫技术
网络爬虫技术是网站漏洞扫描工具的设计基础,WEBSCAN只有通过爬虫来遍历整个网站结构,能对网站各节点攻击测试,所以网站爬虫的完整性决定了网站漏洞检测的完整性。
2.1.1聚焦爬虫概念
网络爬虫是一个自动抓取网页的程序,它是搜索引擎从互联“网上下载网页,是搜索引擎的重要组成部分[3]。传统网络爬虫是从一个或若干初始网页的URL丌始,在网页抓取的过程中不断从当前页面上提取新的URL添加到爬虫队列,直到满足一定停止条件而终止爬虫。与传统的网络爬虫相比,聚焦爬虫的工作流程和搜索策略比较复杂,聚焦爬虫首先需要根据一定的网页分析算法过滤与主题无关的链接,保留有用的链接,并将其添加到等待抓取的URL队列,然后根据一定的搜索策略从队列中选择下一步要抓取的网页URL,并重复上述过程,直到满足某一条件才停止。URL(Uniform Resource Locator)统一资源定位符,是WWW的统一资源定位标志,唯一标识一个WWW上的信息资源。URL主要由三部分组成:资源类型、存放资源的主机域名、资源文件名。
3 WEBSCAN系统设计........... 27-31
3.1 WEBSCAN工作原理........... 27-28
3.2 WEBSCAN系统架构........... 28-29
3.3 WEBSCAN系统流程........... 29-31
4 WEBSCAN子模块的设计与实现 ...........31-51
4.1 HTTP及URL分析处理模块........... 31-37
4.1.1 URL有效性分析........... 31-32
4.1.2 HTTP会话处理........... 32-35
4.1.3 HTTP响应有效性分析...........35-37
4.2 爬虫兼攻击测试模块 ...........37-43
4.2.1 爬虫模块 ...........37-39
4.2.2 攻击检测模块........... 39-43
4.3 数据管理与分析模块........... 43-46
4.3.1 网站结构树的构建........... 43-45
4.3.2 词库关键词的加载........... 45-46
4.4 界面模块........... 46-48
4.4.1 GGI概述........... 46-47
4.4.2 命令行的设计........... 47-48
4.5 报告生成模块 ...........48-49
4.6 历史记录处理模块 ...........49-51
5 WEBSCAN的测试分析及结果分析........... 51-57
5.1 WEBSCAN测试目的 ...........51
5.2 WEBSCAN测试步骤 ...........51-54
5.3 WEBSCAN测试结果展示 ...........54-56
5.4 WEBSCAN测试分析 ...........56-57
结论
本文通过分析比较网络爬虫技术和各种常见网站漏洞的检测方法,选择了最优的设计方案,设计和实现了 WEBSCAN的总体架构和流程,并分别对界面模块、HTTP及URL分析处理模块、网络爬虫兼攻击模块、数据管理与分析模块、历史记录处理模块以及检测报告生成模块进行设计和实现,最后对WEBSCAN进行集成测试,分析了
