WEB安全漏洞检测工具的分析与改进.docVIP

WEB安全漏洞检测工具的分析与改进 摘要2012年12月21日，CSDN证实600万数据库泄漏，CSDN网站早期使用过明文密码，使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理黑客在网上公开了CSDN用户数据库，涉及到的账户总量高达600万个，此次CSDN泄漏的密码无任何加密明文形式。由于CSDN用户多为程序员，此次事件影响巨大，为各大网站的WEB安全意识敲响警钟[1]。 随着互联网进入web2.0时代，web应用程序经常在诸如医学、金融、军事等系统中得到广泛应用，漏洞挖掘是保证web应用程序安全的一种重要手段。因此，我在此次毕业设计中主要作如下工作：9386 （1）学习web应用程序安全基本知识，并熟练使用Burp工具。 （2）扫描当前各大网站web漏洞，研究当前普遍存在的安全问题。 （3）针对明文密码传输漏洞，深入研究其原理和解决办法。 关键词WEB安全，漏洞扫描，Burp 毕业设计说明书（论文）外文摘要 TitleAnalysis and improve WEB security vulnerabilitydetection tool Abstract In December 21, 2012, CSDN confirmed 6000000 database leak, CSDN site of early using clear-text passwords, using the plaintext with a third chat program integration verification brings, later programmers did not deal with hacker on net discloses CSDN user database, relates to account the total amounts to 6000000, the leakage of CSDN password no encrypting a plaintext form. Because the CSDN user for programmers, this event impact, as the major site of WEB safety alarm. With the advent of the Internet into the era of the Web2.0, web applications such as medicine, often in financial, military and other systems are widely used, loophole mining is to ensure that the web application security is a kind of important means. Therefore, I graduated in the design of the main work as follows: 5.1明文密码传输漏洞30 5.2Cookie与用户登录31 5.3明文密码传输检测32 5.4密码安全传输办法35 5.5本章小结36 结论37 致谢38 参 考 文 献39 1绪论 随着互联网进入web 2.0时代，基于web的各种应用与服务不断增加，在各行各业(如金融、军事、医疗等等)中得到了广泛的应用和发展。但是，web 2.0是一把双刃剑，在极大地丰富了互联网应用的同时，也使得网络应用环境更加复杂，并给网络安全带来了许多新的挑战。 1.1概述 随着互联网进入web 2.0时代，基于web的各种应用与服务不断增加，在各行各业(如金融、军事、医疗等等)中得到了广泛的应用和发展。但是，web 2.0是一把双刃剑，在极大地丰富了互联网应用的同时，也使得网络应用环境更加复杂，并给网络安全带来了许多新的挑战。 1.2WEB安全现状及趋势 Web 应用程序是由动态脚本、编译过的代码等组合而成。它通常架设在 Web 服务器上，用户在 Web 浏览器上发送请求，这些请求使用 HTTP 协议，经过因特网和企业的 Web 应用交互，由 Web 应用和企业后台的数据库及其他动态内容通信。 当今世界，Internet已经成为一个非常重要的基础平台，很多企业都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断地完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上。根据 Gartner[2] 的最新调查，信息安全攻击有 75% 都是发生在 We