面向高危风险漏洞修复行为的系统研究
|
摘要
本文采用自适应窗口爬取策略,基于入口URL对系统进行爬取。在注入点的寻找上,设计了具有更强的通配性的URL匹配模式,有效的改进了在URL重写模式下很多检测工具无法检测出漏洞的问题;并且增加了对Cookie和Session的支持。扫描器对可能的注入点,构造有针对性的攻击测试,实施模拟攻击,一旦发现包含特定漏洞的页面,扫描器会将该漏洞的详细信息保存下来,并呈现在报表中,最后自动形成对目标站点的检测报告。
Adaptive window crawling strategy is used to crawl systems pages based on the entry URL. In the search point of the injection point, we designed a URL matching pattern with stronger passability, it effectively improved the problem that many detection tools could not detect the vulnerabilities in URL rewriting mode, and added support for cookies and sessions. For the possible injection point, scanner constructs a targeted attack test, implements simulation attacks, once found that contains a specific vulnerability page, the scanner saves the details of the vulnerability and presents them in the test report. The test report of the target site is automatically formed finally.
Adaptive window crawling strategy is used to crawl systems pages based on the entry URL. In the search point of the injection point, we designed a URL matching pattern with stronger passability, it effectively improved the problem that many detection tools could not detect the vulnerabilities in URL rewriting mode, and added support for cookies and sessions. For the possible injection point, scanner constructs a targeted attack test, implements simulation attacks, once found that contains a specific vulnerability page, the scanner saves the details of the vulnerability and presents them in the test report. The test report of the target site is automatically formed finally.
引文
[1]谢庆辉.电力监控综合自动化系统应用[J].机电工程技术,2017,(2):205-208.
[2]王思丽,刘巍,祝忠明等.基于CSpace的科技信息可配置化自动监测功能设计与实现[J].数据分析与知识发现,2017,(10):1-10,13.
[3]陈亮,王建,赵勇.基于多核处理器的IPSecVPN系统安全策略检索研究[J].计算机工程与应用,2016,(11):1-5.
[4]覃晓宁,杨育斌.业务安全审计系统的设计与实现[J].机电工程技术,2017,(2):523-525.
[5]陈昊,罗蕾,李允等.支持安全策略检查的用户态驱动框架研究[J].计算机应用研究,2018,(4):1-10.
[6]董晶晶,霍珊珊,袁泉等.移动办公终端信息安全技术研究[J].计算机技术与发展,2018,(1):1-6.
[7]于娟,刘强.主题网络爬虫研究综述[J].计算机工程与科学,2015,37(2):231-237.
[8]乐德广,李鑫,龚声蓉等.新型二阶SQL注入技术研究[J].通信学报,2015,36(1):85-93.
[9]李鑫,张维纬,隋子畅等.新型SQL注入及其防御技术研究与分析[J].信息网络安全,2016,(2):66-73.
[10]齐林,王静云,蔡凌云,陈宁波.SQL注入攻击检测与防御研究[J].河北科技大学学报,2012,33(6):530-533.
[11]王丹,顾明昌,赵文兵.一种基于渗透测试的跨站脚本漏洞检测方法[J].哈尔滨工程大学学报,2017,(11):1-11.
[12]刘剑,苏璞睿,杨珉等.软件与网络安全研究综述[J].软件学报,2017,(7):1-25.
[13]李冰,赵逢禹.Stored-XSS漏洞检测的研究与设计[J].计算机应用与软件,2013,30(3):17-21.
[14]张大卫,解永刚,杨亚彪,何红玲.XSS攻击分析与防御机制研究[J].数字技术与应用,2012,(12):40,42.
[15]付垒朋,张瀚,霍路阳.基于多类特征的JavaScript恶意脚本检测算法[J].模式识别与人工智能,2015,28(12):1110-1118.
[16]孙伟,张凯寓,薛临风等.XSS漏洞研究综述[J].信息安全研究,2016,2(12):1068-1079.
[17]胡建洪,徐建,董克源,高鑫.移动新闻自适应采集方法研究[J].计算机应用研究,2016,(10):1-2
[18]王景中,邱铜相.基于TF-IDF改进算法的聚焦主题网络爬虫[J].计算机应用,2015,35(10):2901-2904,2919.
[19]陈颖聪,陈广清,陈智明等.面向智能电网SDN的二进制代码分析漏洞扫描方法研究[J].信息网络安全,2016,(7):35-39.
[20]王景中,王雷硕.基于Nessus的漏洞扫描系统设计与实现[J].网络安全技术与应用,2012,(11):21-23.
[2]王思丽,刘巍,祝忠明等.基于CSpace的科技信息可配置化自动监测功能设计与实现[J].数据分析与知识发现,2017,(10):1-10,13.
[3]陈亮,王建,赵勇.基于多核处理器的IPSecVPN系统安全策略检索研究[J].计算机工程与应用,2016,(11):1-5.
[4]覃晓宁,杨育斌.业务安全审计系统的设计与实现[J].机电工程技术,2017,(2):523-525.
[5]陈昊,罗蕾,李允等.支持安全策略检查的用户态驱动框架研究[J].计算机应用研究,2018,(4):1-10.
[6]董晶晶,霍珊珊,袁泉等.移动办公终端信息安全技术研究[J].计算机技术与发展,2018,(1):1-6.
[7]于娟,刘强.主题网络爬虫研究综述[J].计算机工程与科学,2015,37(2):231-237.
[8]乐德广,李鑫,龚声蓉等.新型二阶SQL注入技术研究[J].通信学报,2015,36(1):85-93.
[9]李鑫,张维纬,隋子畅等.新型SQL注入及其防御技术研究与分析[J].信息网络安全,2016,(2):66-73.
[10]齐林,王静云,蔡凌云,陈宁波.SQL注入攻击检测与防御研究[J].河北科技大学学报,2012,33(6):530-533.
[11]王丹,顾明昌,赵文兵.一种基于渗透测试的跨站脚本漏洞检测方法[J].哈尔滨工程大学学报,2017,(11):1-11.
[12]刘剑,苏璞睿,杨珉等.软件与网络安全研究综述[J].软件学报,2017,(7):1-25.
[13]李冰,赵逢禹.Stored-XSS漏洞检测的研究与设计[J].计算机应用与软件,2013,30(3):17-21.
[14]张大卫,解永刚,杨亚彪,何红玲.XSS攻击分析与防御机制研究[J].数字技术与应用,2012,(12):40,42.
[15]付垒朋,张瀚,霍路阳.基于多类特征的JavaScript恶意脚本检测算法[J].模式识别与人工智能,2015,28(12):1110-1118.
[16]孙伟,张凯寓,薛临风等.XSS漏洞研究综述[J].信息安全研究,2016,2(12):1068-1079.
[17]胡建洪,徐建,董克源,高鑫.移动新闻自适应采集方法研究[J].计算机应用研究,2016,(10):1-2
[18]王景中,邱铜相.基于TF-IDF改进算法的聚焦主题网络爬虫[J].计算机应用,2015,35(10):2901-2904,2919.
[19]陈颖聪,陈广清,陈智明等.面向智能电网SDN的二进制代码分析漏洞扫描方法研究[J].信息网络安全,2016,(7):35-39.
[20]王景中,王雷硕.基于Nessus的漏洞扫描系统设计与实现[J].网络安全技术与应用,2012,(11):21-23.