论文部分内容阅读
摘 要:互联网的普及和发展虽然给我们的生活带来了极大的方便,然而它也存在着许多漏洞,web 应用中出现的漏洞就容易对我们的生活构成潜在的安全威胁。传统客户端应用正逐渐被web应用替代,这已成为当今的发展趋势,也正给一些攻击者提供了可乘之机,web应用的安全级别低下,漏洞仍需采用适当的处理措施填补修复。基于此,本文就如何扫描并修复web漏洞提出系统化设计方案,并对初级实现问题进行了探讨。
关键词:web漏洞扫描;网络安全;系统修复
引言
目前,市场上出现的多种安全扫描系统,通过检测远程或本地主机的安全薄弱点自动收集所需信息。由于它的自动化,主动将繁琐的步骤利用程序化来完成和实现,可以为网络安全管理的工作人员节省很多时间和步骤,成为现在网管保障安全的重要工具之一。但是,由于现在市面上的网络安全扫描工具价格昂贵,不利于业务系统的正常使用和运行。因此,结合当前网络安全状况及出现漏洞的具体情况,开发一款实用价值更高的网络安全扫描器是十分必要的。
一、web漏洞扫描原理
目前,互联网最受人们瞩目的问题莫过于网络安全问题,网络安全漏洞是互联网安全问题存在的最重要原因之一。现如今,这些安全漏洞问题也成为了国内外网络专家们关注的焦点,如何快速地发现并修复这些漏洞以避免他们被坏人恶意利用,这是最需要解决的问题,研究中发现安全扫描技术为漏洞的尽早发现提供了科学技术支持。
安全扫描技术是以端口扫描技术为基础进行的。最常使用的一种方法为模拟攻击法,即根据黑客的攻击行为来查找安全系统存在的漏洞。从多种分析和手机的漏洞看来,黑客大多只是针对某一网络服务进行攻击的。所以,研究的漏洞扫描技术也就只需要针对某一个特定的网络服务就可以。先利用多种攻击方法对系统进行模拟攻击并逐项筛查,从而发现系统中可能存在的漏洞。信息获取是另一种发现系统漏洞的方法,服务器端根据客户端的选项进行安全检查,通过主机TCP/IP的服务端口发送连接请求,并调用规则匹配库检测主机,当接受请求信息后便与匹配库提供的漏洞库进行互相配对,配对成功的即为所谓的漏洞,是需要进行修补的数据库中的漏洞的一种。Web 漏洞扫描原理就是利用上面的两种扫描方法,进而判断是否目标系统上真的存在安全漏洞。
二、web漏洞扫描技术
網络爬虫又被称为网页蜘蛛、网络机器人,是一个自动下载网页的程序,即是一段按照某种规则自抓取互联网上信息的脚本程序。这种网络爬虫在互联网搜索引擎中得到了广泛的应用,因为它能够将互联网站上的所有页面下载到本地,而且它还可以根据既定的信息捕获目标,为了获得所需信息,它可以有选择性地打开相关网页与链接。在它获取信息时,需要遵循一定的广度优先策略,并将信息进行镜像和更深入的分析和处理。网络爬虫漏洞扫描技术一般分为爬虫阶段和扫描阶段这两个阶段。在爬虫阶段,主要对所需扫描应用的入口链接上的信息进行获取,然后分析处理从页面链接得到的信息。而扫描阶段,扫描系统一旦开始,就会对网页安装它被精心设计的攻击模板,生成大量的攻击代码发送到发现漏洞的网页中。之后,系统会根据提供的web应用的信息中的请求和响应,进行是否出现漏洞的分析,并最终对出现的漏洞进行相关修复。
三、web漏洞修复功能实现
为了增强系统的可扩展性,系统采用模块化设计、实现漏洞的扫描功能,只需在之后的设计中添加相应的新出现的漏洞到系统中即可,不再需要重新编写复杂的程序来弥补过去编程中的不足之处,根据需要,编程师和网络安全管理师们编写出了很多种的检测模块,这也就意味着在多种检测模块的帮助下,出现了很多不同的安全扫描器,由于网络的安全扫描系统检测速度迅速、检测范围广等特点,安全扫描仪主要可以分为一类以针对操作系统扫描检测的主机型安全扫描器,和另一类针对远程网络的网络型安全扫描器。本文目的即在于设计和实现一个新型的、能得以广泛应用的Web网络漏洞扫描系统,它能实时对远程所管辖的网络站点进行分段扫描、自定义插件、具有可扩展性和批量导入功能,并能对扫描结果进行逐个风险评估,具有较强的检测功能。
四、Web电子产业前景思考
Web网络的发展前景代表了社会信息化发展的趋势和方向,信息时代的到来意味着人类文明向前的一大进步,信息资源已经成为当今世界的一个重要的战略性资源。但是,我国政府尚没有对信息资源的管理引起高度重视,这就会给一些不法分子造成许多趁虚而入的机会,web网络安全自然成为一大难题,所以,目前看来,信息资源管理也应该得到相应的重视。信息资源的开发应该由国家统一管理,并设置专门的机构来管理,从根源上避免网络安全事故的发生。
其一,制定相应的法律法规。政府应积极落实电子产业中想关的法律规定,为我国web安全构建和谐市场,严厉禁止盗取、黑客等行为的发生,并积极带领团队修复相关漏洞,以推动国内形成良好的web网络安全秩序,这对于国家社会稳定安全、推动国家经济发展具有良好的作用。
其二,加快web发展速度。应将全民提高信息化水平纳入社会发展的重要日程。要想推动全民web认知进程,就要将web普及化,人人争做计算机专家,将会让我们的生活前进一大步。互联网的发展从本质上改变了人们的生活状态、信息获取方式,如果将web在群众中打好基础,那么政府也会提起相应的重视,对于web的盲目认识不是web发展的一个好前景。
其三,电子政务水平提高。迄今为止,已有不少机构充分意识到机构改革自身与电子政务水平提高息息相关。提高电子政务水平不仅可以提高行政办事效率,还能简化办事程序,一举多得。
结束语
本文深刻研究讨论了web漏洞扫描系统可能出现的问题,并给出了相应的整改意见。文中提到的前景也为我国web的发展提供了很大借鉴意义,本文提到的不足可以深刻地认识到系统中包含的漏洞检测技术不够系统、全面,仍有许多需要改进的地方。本文中提到的方法可以有效实现 Web 安全扫描和漏洞检修复,它对于Web的系统安全更具有保障性,针对web系统漏洞提出合理建议和系统化设计来达到实行的目的,这对于我国网络环境的安全和稳定具有重要意义。
参考文献:
[1] 吕婷婷.Android应用漏洞扫描系统的设计与实现[D].哈尔滨工业大学,2018.
[2] 赵书博.基于OpenVAS的漏洞扫描系统设计与实现[D].济南大学,2016
[3] 王博瑞.分布式漏洞扫描系统的设计与实现[D].西安电子科技大学,2015.
[4] 胡小明.云安全漏洞扫描系统虚拟节点管理模块的设计与实现[D].北京邮电大学,2015.
关键词:web漏洞扫描;网络安全;系统修复
引言
目前,市场上出现的多种安全扫描系统,通过检测远程或本地主机的安全薄弱点自动收集所需信息。由于它的自动化,主动将繁琐的步骤利用程序化来完成和实现,可以为网络安全管理的工作人员节省很多时间和步骤,成为现在网管保障安全的重要工具之一。但是,由于现在市面上的网络安全扫描工具价格昂贵,不利于业务系统的正常使用和运行。因此,结合当前网络安全状况及出现漏洞的具体情况,开发一款实用价值更高的网络安全扫描器是十分必要的。
一、web漏洞扫描原理
目前,互联网最受人们瞩目的问题莫过于网络安全问题,网络安全漏洞是互联网安全问题存在的最重要原因之一。现如今,这些安全漏洞问题也成为了国内外网络专家们关注的焦点,如何快速地发现并修复这些漏洞以避免他们被坏人恶意利用,这是最需要解决的问题,研究中发现安全扫描技术为漏洞的尽早发现提供了科学技术支持。
安全扫描技术是以端口扫描技术为基础进行的。最常使用的一种方法为模拟攻击法,即根据黑客的攻击行为来查找安全系统存在的漏洞。从多种分析和手机的漏洞看来,黑客大多只是针对某一网络服务进行攻击的。所以,研究的漏洞扫描技术也就只需要针对某一个特定的网络服务就可以。先利用多种攻击方法对系统进行模拟攻击并逐项筛查,从而发现系统中可能存在的漏洞。信息获取是另一种发现系统漏洞的方法,服务器端根据客户端的选项进行安全检查,通过主机TCP/IP的服务端口发送连接请求,并调用规则匹配库检测主机,当接受请求信息后便与匹配库提供的漏洞库进行互相配对,配对成功的即为所谓的漏洞,是需要进行修补的数据库中的漏洞的一种。Web 漏洞扫描原理就是利用上面的两种扫描方法,进而判断是否目标系统上真的存在安全漏洞。
二、web漏洞扫描技术
網络爬虫又被称为网页蜘蛛、网络机器人,是一个自动下载网页的程序,即是一段按照某种规则自抓取互联网上信息的脚本程序。这种网络爬虫在互联网搜索引擎中得到了广泛的应用,因为它能够将互联网站上的所有页面下载到本地,而且它还可以根据既定的信息捕获目标,为了获得所需信息,它可以有选择性地打开相关网页与链接。在它获取信息时,需要遵循一定的广度优先策略,并将信息进行镜像和更深入的分析和处理。网络爬虫漏洞扫描技术一般分为爬虫阶段和扫描阶段这两个阶段。在爬虫阶段,主要对所需扫描应用的入口链接上的信息进行获取,然后分析处理从页面链接得到的信息。而扫描阶段,扫描系统一旦开始,就会对网页安装它被精心设计的攻击模板,生成大量的攻击代码发送到发现漏洞的网页中。之后,系统会根据提供的web应用的信息中的请求和响应,进行是否出现漏洞的分析,并最终对出现的漏洞进行相关修复。
三、web漏洞修复功能实现
为了增强系统的可扩展性,系统采用模块化设计、实现漏洞的扫描功能,只需在之后的设计中添加相应的新出现的漏洞到系统中即可,不再需要重新编写复杂的程序来弥补过去编程中的不足之处,根据需要,编程师和网络安全管理师们编写出了很多种的检测模块,这也就意味着在多种检测模块的帮助下,出现了很多不同的安全扫描器,由于网络的安全扫描系统检测速度迅速、检测范围广等特点,安全扫描仪主要可以分为一类以针对操作系统扫描检测的主机型安全扫描器,和另一类针对远程网络的网络型安全扫描器。本文目的即在于设计和实现一个新型的、能得以广泛应用的Web网络漏洞扫描系统,它能实时对远程所管辖的网络站点进行分段扫描、自定义插件、具有可扩展性和批量导入功能,并能对扫描结果进行逐个风险评估,具有较强的检测功能。
四、Web电子产业前景思考
Web网络的发展前景代表了社会信息化发展的趋势和方向,信息时代的到来意味着人类文明向前的一大进步,信息资源已经成为当今世界的一个重要的战略性资源。但是,我国政府尚没有对信息资源的管理引起高度重视,这就会给一些不法分子造成许多趁虚而入的机会,web网络安全自然成为一大难题,所以,目前看来,信息资源管理也应该得到相应的重视。信息资源的开发应该由国家统一管理,并设置专门的机构来管理,从根源上避免网络安全事故的发生。
其一,制定相应的法律法规。政府应积极落实电子产业中想关的法律规定,为我国web安全构建和谐市场,严厉禁止盗取、黑客等行为的发生,并积极带领团队修复相关漏洞,以推动国内形成良好的web网络安全秩序,这对于国家社会稳定安全、推动国家经济发展具有良好的作用。
其二,加快web发展速度。应将全民提高信息化水平纳入社会发展的重要日程。要想推动全民web认知进程,就要将web普及化,人人争做计算机专家,将会让我们的生活前进一大步。互联网的发展从本质上改变了人们的生活状态、信息获取方式,如果将web在群众中打好基础,那么政府也会提起相应的重视,对于web的盲目认识不是web发展的一个好前景。
其三,电子政务水平提高。迄今为止,已有不少机构充分意识到机构改革自身与电子政务水平提高息息相关。提高电子政务水平不仅可以提高行政办事效率,还能简化办事程序,一举多得。
结束语
本文深刻研究讨论了web漏洞扫描系统可能出现的问题,并给出了相应的整改意见。文中提到的前景也为我国web的发展提供了很大借鉴意义,本文提到的不足可以深刻地认识到系统中包含的漏洞检测技术不够系统、全面,仍有许多需要改进的地方。本文中提到的方法可以有效实现 Web 安全扫描和漏洞检修复,它对于Web的系统安全更具有保障性,针对web系统漏洞提出合理建议和系统化设计来达到实行的目的,这对于我国网络环境的安全和稳定具有重要意义。
参考文献:
[1] 吕婷婷.Android应用漏洞扫描系统的设计与实现[D].哈尔滨工业大学,2018.
[2] 赵书博.基于OpenVAS的漏洞扫描系统设计与实现[D].济南大学,2016
[3] 王博瑞.分布式漏洞扫描系统的设计与实现[D].西安电子科技大学,2015.
[4] 胡小明.云安全漏洞扫描系统虚拟节点管理模块的设计与实现[D].北京邮电大学,2015.