Web应用安全漏洞自动检测工具

电子信息

Web应用安全漏洞自动检测工具包括两个部分：（1）跨站脚本漏洞检测工具XSSBuster；（2）SQL注入漏洞检测工具SQLIExposer。其中涉及的关键技术包括：网络爬虫与Web应用程序的动态交互、数据入口的确定和模拟攻击、注入代码的构造以及注入结果的分析、渗透测试技术的优化、利用Fuzzing技术构造针对不同数据入口的多种注入代码及其变体、强制注入代码的执行。

本工具能全面、自动检测Web应用程序中的SQL注入漏洞和三种类型的跨站脚本漏洞。测试结果表明：与目前主流的漏洞检测系统相比，本工具能检测出更多的漏洞，在性能方面也具有一定的优越性。

未应用