青島工學(xué)院畢業(yè)論文（設(shè)計(jì)）題目[15]。6.2測(cè)試策略使用系統(tǒng)的實(shí)際操作環(huán)境仿真來測(cè)試系統(tǒng)的預(yù)期功能模塊并測(cè)試整個(gè)系統(tǒng)的性能。詳細(xì)信息參考系統(tǒng)基本功能測(cè)試，表6-1所示。表6-1系統(tǒng)基本功能測(cè)試功能大項(xiàng)測(cè)試類型是否覆蓋用戶登錄、退出功能測(cè)試是首頁功能測(cè)試是任務(wù)管理功能測(cè)試是資產(chǎn)管理功能測(cè)試是策略列表功能測(cè)試是6.3測(cè)試結(jié)果評(píng)估系統(tǒng)的基本功能，包括但不限于系統(tǒng)環(huán)境測(cè)試、系統(tǒng)基本功能、漏洞掃描核心功能。系統(tǒng)環(huán)境測(cè)試主要包括系統(tǒng)的服務(wù)器環(huán)境、虛擬機(jī)環(huán)境、網(wǎng)站中間件容器以及系統(tǒng)依賴軟件的測(cè)試。具體結(jié)果參考系統(tǒng)環(huán)境測(cè)試表，如下表6-2所示。表6-2系統(tǒng)環(huán)境測(cè)試系統(tǒng)依賴名稱用途測(cè)試結(jié)果NginxWeb服務(wù)器中間件正常Python主要編程語言正常Django系統(tǒng)依賴框架正常MySQLVMwareFusion數(shù)據(jù)庫軟件虛擬機(jī)軟件正常正常系統(tǒng)基本功能測(cè)試，主要測(cè)試了系統(tǒng)內(nèi)部功能點(diǎn)，包括：登錄、首頁顯示、掃描任務(wù)的創(chuàng)建、策略管理、用戶管理、系統(tǒng)配置。具體結(jié)果參考系統(tǒng)基本功能測(cè)試表，如下表6-3所示。表6-3系統(tǒng)基本功能測(cè)試功能模塊測(cè)試情況測(cè)試結(jié)果登錄功能實(shí)現(xiàn)合格首頁功能實(shí)現(xiàn)合格新建掃描任務(wù)功能實(shí)現(xiàn)合格策略管理功能實(shí)現(xiàn)合格用戶管理功能實(shí)現(xiàn)合格系統(tǒng)配置功能實(shí)現(xiàn)合格系統(tǒng)性能測(cè)試，主要測(cè)試系統(tǒng)各方面的容錯(cuò)性、安全性、保密性、穩(wěn)定性等。具體結(jié)果參考系統(tǒng)性能測(cè)試表，如下表6-4所示。表6-4系統(tǒng)性能測(cè)試評(píng)估方面測(cè)試性能測(cè)試結(jié)果系統(tǒng)安全和穩(wěn)定性容錯(cuò)性基本具有容錯(cuò)功能安全性安全性較好保密性保密性較高穩(wěn)定性基本穩(wěn)定系統(tǒng)性能負(fù)載運(yùn)行符合用戶安全系統(tǒng)界面界面顯示功能正常顯示其中，本系統(tǒng)重點(diǎn)功能測(cè)試效果如下所示：1.漏洞掃描過程測(cè)試當(dāng)操作員新建掃描任務(wù)后，系統(tǒng)開始對(duì)操作員填寫的掃描信息進(jìn)行爬蟲分析，隨后將爬取到的數(shù)據(jù)包匹配漏洞策略，將其發(fā)送后將返回包再次分析如觸發(fā)漏洞驗(yàn)證策略則漏洞驗(yàn)證成功。具體測(cè)試效果如圖6-1所示。圖6-1測(cè)試結(jié)果展示2.XSS跨站腳本攻擊漏洞掃描測(cè)試在新建任務(wù)中只選擇XSS漏洞策略開始掃描，當(dāng)掃描任務(wù)結(jié)束后導(dǎo)出報(bào)告，查看掃描結(jié)果并驗(yàn)證漏洞的正確性，成功驗(yàn)證掃描漏洞并利用XSS漏洞觸發(fā)彈窗。具體測(cè)試效果如圖6-2所示。圖6-2測(cè)試結(jié)果展示3.SQL注入漏洞掃描測(cè)試在新建任務(wù)中只選擇SQL注入漏洞策略開始掃描，當(dāng)掃描任務(wù)結(jié)束后導(dǎo)出報(bào)告，查看掃描結(jié)果并驗(yàn)證漏洞的正確性，成功驗(yàn)證掃描漏洞并通過漏洞查看到數(shù)據(jù)庫信息。具體測(cè)試效果如圖6-3所示。圖6-3測(cè)試結(jié)果展示4.與開源漏洞掃描工具對(duì)比本小結(jié)重點(diǎn)討論系統(tǒng)與其他開源漏洞掃描工具的優(yōu)劣性，將選擇AWVS與Nessus倆款安全行業(yè)內(nèi)知名開源漏洞掃描平臺(tái)進(jìn)行對(duì)比。為確保數(shù)據(jù)可靠性，測(cè)試環(huán)境將選取在同一網(wǎng)絡(luò)和運(yùn)行主機(jī)下并選取同一的測(cè)試目標(biāo)進(jìn)行。平臺(tái)對(duì)比測(cè)試數(shù)據(jù)如下表6-5所示。表6-5平臺(tái)對(duì)比測(cè)試漏掃平臺(tái)掃描時(shí)間漏洞數(shù)量準(zhǔn)確率Web漏洞掃描平臺(tái)45min16個(gè)81%AWVS平臺(tái)24min15個(gè)90%Nessus31min17個(gè)78%第三方插件工具掃描14min23個(gè)45%通過統(tǒng)計(jì)數(shù)據(jù)，可得到結(jié)論，本系統(tǒng)準(zhǔn)確率和漏洞掃描數(shù)量上與其他開源產(chǎn)品基本保持一致有時(shí)會(huì)更有優(yōu)勢(shì)，缺點(diǎn)上掃描線程相對(duì)于其他產(chǎn)品上占用時(shí)間長(zhǎng)，并對(duì)硬件的要求比其他產(chǎn)品高?？偨Y(jié)與展望隨著Web2.0技術(shù)的發(fā)展，Web應(yīng)用越來越復(fù)雜，Web安全問題在近些年來變得十分突出，給企業(yè)和用戶造成了非常大的經(jīng)濟(jì)損失，各大政府部門、金融、教育行業(yè)也紛紛開始重視網(wǎng)絡(luò)安全的發(fā)展，網(wǎng)絡(luò)安全意識(shí)也得到了不斷的增強(qiáng)。各行業(yè)在互聯(lián)網(wǎng)預(yù)算中也加大了網(wǎng)絡(luò)安全專項(xiàng)預(yù)算的經(jīng)費(fèi)，在高價(jià)購買大量的安全防護(hù)產(chǎn)品的同時(shí)，挖掘網(wǎng)站本身漏洞也得到了重視。各行業(yè)紛紛使用漏洞掃描器對(duì)本單位網(wǎng)站進(jìn)行漏洞掃描。因此漏洞掃描器的發(fā)展起到了維持互聯(lián)網(wǎng)系統(tǒng)的重要作用。本文在分析研究各種漏洞的原理和漏洞掃描技術(shù)之后，實(shí)現(xiàn)了一個(gè)高可用性，可擴(kuò)展性，性能良好的Web應(yīng)用漏洞掃描器，本文的主要工作如下:首先分析在人們?nèi)粘：凸ぷ鞫茧x不開互聯(lián)網(wǎng)的大環(huán)境下，Web安全問題對(duì)人們可能造成的影響和危害。結(jié)合研究背景，設(shè)計(jì)一款Web漏洞掃描平臺(tái)，并分析代碼層安全、應(yīng)用層安全、系統(tǒng)層安全的各種漏洞。分析了爬蟲技術(shù)的一種進(jìn)階技術(shù)分布式爬蟲，在基礎(chǔ)的爬蟲技術(shù)上進(jìn)行的一種擴(kuò)展型技術(shù)，在本系統(tǒng)中起到了重要的作用。設(shè)計(jì)完成Web漏洞掃描平臺(tái)，主要功能有掃描任務(wù)的創(chuàng)建、策略管理、用戶管理以及系統(tǒng)配置。最后在系統(tǒng)測(cè)試階段，完成了系統(tǒng)的基礎(chǔ)功能測(cè)試、核心功能測(cè)試以及和倆款開源的漏洞掃描器進(jìn)行了各項(xiàng)指標(biāo)的對(duì)比。驗(yàn)證了本系統(tǒng)中所研究技術(shù)的可行性。在Web漏洞掃描系統(tǒng)的構(gòu)建過程中，該系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)基本完成，但也發(fā)現(xiàn)一些問題，系統(tǒng)硬件需求過高、掃描線程時(shí)間過長(zhǎng)、漏洞研判的準(zhǔn)確率還需要提高。希望在將來逐漸完善使系統(tǒng)更具有實(shí)用性和健全性。參考文獻(xiàn)陳禹.Web漏洞掃描器一覽[J].計(jì)算機(jī)與網(wǎng)絡(luò),2018,42(20):56-57.劉明明.Web應(yīng)用漏洞掃描器的設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué),2014.劉洋洋.基于Nessus漏洞掃描系統(tǒng)的研究與優(yōu)化[D].電子科技大學(xué),2020.賈召鵬.面向防御的網(wǎng)絡(luò)欺騙技術(shù)研究[D].北京郵電大學(xué),2018.王世偉,曹磊,羅天雨.再論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國(guó)圖書館學(xué)報(bào),2019,42(05):4-28.李業(yè)謙.網(wǎng)絡(luò)空間安全與其攻防技術(shù)的研究[J].信息與電腦(理論版),2019,31(22):183-185.王亞東.基于插件的Web應(yīng)用漏洞掃描系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].東南大學(xué),2019.龔儉,臧小東,蘇琪,胡曉艷,徐杰.網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述[J].軟件學(xué)報(bào),2017,28(04):1010-1026.陳晶潔.高性能Web應(yīng)用漏洞掃描系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京郵電大學(xué),2019.楊欽.面向Web的分布式漏洞掃描器的設(shè)計(jì)與實(shí)現(xiàn)[D].武漢輕工大學(xué),2019.尹健.計(jì)算機(jī)軟件安全檢測(cè)技術(shù)分析[J].輕工科技,2021,37(05):90-91.陳廣勇,祝國(guó)邦,范春玲.《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T28448-2019)標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全,2019(07):1-7.曲潔,范春玲,陳廣勇,趙勁濤.新時(shí)代下網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)思路[J].信息網(wǎng)絡(luò)安全,2019(01):83-87.張智洋.新時(shí)代中國(guó)網(wǎng)絡(luò)安全建設(shè)研究[D].吉林大學(xué),2020.盧堅(jiān).“9·11”事件后美國(guó)網(wǎng)絡(luò)空間安全戰(zhàn)略研究[D].戰(zhàn)略支援部隊(duì)信息工程大學(xué),2019.MicroFocus.動(dòng)態(tài)應(yīng)用安全測(cè)試(DAST):FortifyWebInspectWebInspect[EB/OL]./zh-cn/products/Webinspect-dynamic-analysis-dast/overview,2020-01.JevriTriArdiansah,AjiPrasetyaWibawa,TriyannaWidyaningtyas.SQLLogicErrorDetectionbyUsingStartEndMidAlgorithm[J].KnowledgeEngineeringandDataScience,2019,1(1):1-11.Steinhauser,Antonin,Tuma.DjangoChecker:ApplyingextendedtainttrackingandserversideparsingfordetectionofcontextsensitiveXSSflaws[J].Software:PracticeandExperience,2019-WileyOnlineLibrary,2019(1):1-6.Acunetix.WebApplicationSecurityScanner[EB/OL].,2020-01.Baruk?i?I.,ChenJingxia,ChenXiuling,YuBo.DesignofWebvulnerabilityscannerbasedongolanguage[J].MATECWebofConferences,2021,336.RichardAmankwah,JinfuChen,PatrickKwakuKudjo,DaveTowey.Anempiricalcomparisonofcommercialandopen‐sourceWebvulnerabilityscanners[J].Software:PracticeandExperience,2020,50(9).MuhammadNomanKhalid,Muhammadiqbal,KamranRashe