Web应用安全漏洞自动检测工具包括两个部分:(1)跨站脚本漏洞检测工具XSSBuster;(2)SQL注入漏洞检测工具SQLIExposer。其中涉及的关键技术包括:网络爬虫与Web应用程序的动态交互、数据入口的确定和模拟攻击、注入代码的构造以及注入结果的分析、渗透测试技术的优化、利用Fuzzing技术构造针对不同数据入口的多种注入代码及其变体、强制注入代码的执行。
本工具能全面、自动检测Web应用程序中的SQL注入漏洞和三种类型的跨站脚本漏洞。测试结果表明:与目前主流的漏洞检测系统相比,本工具能检测出更多的漏洞,在性能方面也具有一定的优越性。
扫码关注,查看更多科技成果