[00298689]Web应用安全漏洞自动检测工具
交易价格:
面议
类型:
非专利
技术成熟度:
通过小试
交易方式:
完全转让
许可转让
技术入股
联系人:
北京航空航天大学
所在地:北京北京市
- 服务承诺
- 产权明晰
-
资料保密
对所交付的所有资料进行保密
- 如实描述
技术详细介绍
随着网络与信息技术的发展和普及,基于Internet的动态Web应用服务变得越来越重要,由此引发的Web应用安全问题日益受到广泛关注和重视。据OWASP2010年统计数据表明:SQL注入漏洞和跨站脚本漏洞已成为Web应用程序最主要的两类漏洞威胁。
Web应用安全漏洞自动检测工具包括两个部分:1)跨站脚本漏洞检测工具XSSBuster;2)SQL注入漏洞检测工具SQLIExposer。其中涉及的关键技术包括:网络爬虫与Web应用程序的动态交互、数据入口的确定和模拟攻击、注入代码的构造以及注入结果的分析、渗透测试技术的优化、并利用Fuzzing技术构造针对不同数据入口的多种注入代码及其变体、强制注入代码的执行。
本工具能全面、自动检测Web应用程序中的SQL注入漏洞和三种类型的跨站脚本漏洞,测试结果表明:与目前主流的漏洞检测系统相比,本工具能检测出更多的漏洞,在性能方面也具有一定的优越性。
利用本工具能对各种Web应用程序中普遍存在、危害巨大的SQL注入漏洞和跨站脚本漏洞进行全面、自动的检测,这对于定位和修复这些漏洞、提高Web应用系统的安全性具有十分重要的意义。
微信公众号
