摘 要:对于具备了多样性特征并不断演化的网络攻击技术,Web应用程序漏洞扫描器成为网络安全领域必不可少的组成部分。但是这些工具对于新型攻击技术与综合型漏洞的防御能力差,漏检率较高。本文设计了一个专用的网络攻击测试环境,在对服务器发起过程可控的网络漏洞攻击的同时,并记录扫描器的检测结果。从而发现其存在技术缺陷和功能限制。
关键词:网络攻击;Web应用程序漏洞扫描器;扫描性能局限;改进提高检测率
引言
Web应用程序漏洞扫描器是许多网络安全审计人员和Web应用程序管理员的首选,在进行测试的过程中能够比较迅速的确定各种网络应用程序漏洞。但是,这些工具普遍缺乏够检测多种综合类型的漏洞的能力,本研究设计了一非安全版本的Web应用程序,使用多个扫描器对Web应用程序进行扫描。从结果中分析和发现问题,为提高Web应用程序扫描器的检测性能提供思路与参考数据。
一.背景
1.1 问题陈述
赛门铁克2010年公布的一项研究 M. Vieira, N. Antunes, and H. Madeira. Using web security scanners to detect vulnera-bilities in web services. In Dependable Systems & Networks, 2009. DSN ’09. IEEE/IFIPInternational Conference on, pages 566–571, 29 2009-July 2 2009
