web扫描器技术方案.pptVIP

第四章 总结与展望 本文主要研究了Web漏洞产生的原因，以及Web漏洞的检测方法，同时提出了Web扫描器SearchPlan的实现方案。在论文的研究过程中，主要在前人的基础上，做了一下改进：对漏洞进行了更深的挖掘、对网络带宽的利用有了更大的提高、提出了一个可以动态加载测试模块的模型。经过测试结果，扫描器SearchPlan很好的完成了预期结果。 然而，扫描器SearchPlan还存在一些不能完成的测试。对于论文上述说讨论的漏洞而言，都有明确的漏洞签名，然而，有时候，使用一个标准的攻击字符串和签名无法有效探测到相同类型的漏洞。例如，为阻止基于输入的漏洞，应用程序会执行某种专门的设计即可避免不完善的输入确认。普通的攻击字符串将被阻止或净化；但是，经验丰富的攻击者能够探测到应用程序实施的输入确认，并找到避免这种输入的方法。同样，有时候，标准的攻击字符串可能会触发一个漏洞，但不会生成想要的签名。例如，许多SQL注入并不会导致应用程序向用户展示任何数据或错误信息；同样，路径遍历漏洞也不会让目标文件的内容在应用程序中直接返回。此外，还有一些重要的漏洞并没有明确的签名。如，不完善的访问控制，逻辑错误，回话劫持等。 其次，扫描器SearchPlan还没有一个很友好的界面，和适合各种要求的报表。 这些问题，都是下一步的具体工作。随着学习的不断深入，以及漏洞检测技术的不断改进，相信不久的未来，扫描器S