青島工學(xué)院畢業(yè)論文（設(shè)計）題目[15]。6.2測試策略使用系統(tǒng)的實際操作環(huán)境仿真來測試系統(tǒng)的預(yù)期功能模塊并測試整個系統(tǒng)的性能。詳細(xì)信息參考系統(tǒng)基本功能測試，表6-1所示。表6-1系統(tǒng)基本功能測試功能大項測試類型是否覆蓋用戶登錄、退出功能測試是首頁功能測試是任務(wù)管理功能測試是資產(chǎn)管理功能測試是策略列表功能測試是6.3測試結(jié)果評估系統(tǒng)的基本功能，包括但不限于系統(tǒng)環(huán)境測試、系統(tǒng)基本功能、漏洞掃描核心功能。系統(tǒng)環(huán)境測試主要包括系統(tǒng)的服務(wù)器環(huán)境、虛擬機環(huán)境、網(wǎng)站中間件容器以及系統(tǒng)依賴軟件的測試。具體結(jié)果參考系統(tǒng)環(huán)境測試表，如下表6-2所示。表6-2系統(tǒng)環(huán)境測試系統(tǒng)依賴名稱用途測試結(jié)果NginxWeb服務(wù)器中間件正常Python主要編程語言正常Django系統(tǒng)依賴框架正常MySQLVMwareFusion數(shù)據(jù)庫軟件虛擬機軟件正常正常系統(tǒng)基本功能測試，主要測試了系統(tǒng)內(nèi)部功能點，包括：登錄、首頁顯示、掃描任務(wù)的創(chuàng)建、策略管理、用戶管理、系統(tǒng)配置。具體結(jié)果參考系統(tǒng)基本功能測試表，如下表6-3所示。表6-3系統(tǒng)基本功能測試功能模塊測試情況測試結(jié)果登錄功能實現(xiàn)合格首頁功能實現(xiàn)合格新建掃描任務(wù)功能實現(xiàn)合格策略管理功能實現(xiàn)合格用戶管理功能實現(xiàn)合格系統(tǒng)配置功能實現(xiàn)合格系統(tǒng)性能測試，主要測試系統(tǒng)各方面的容錯性、安全性、保密性、穩(wěn)定性等。具體結(jié)果參考系統(tǒng)性能測試表，如下表6-4所示。表6-4系統(tǒng)性能測試評估方面測試性能測試結(jié)果系統(tǒng)安全和穩(wěn)定性容錯性基本具有容錯功能安全性安全性較好保密性保密性較高穩(wěn)定性基本穩(wěn)定系統(tǒng)性能負(fù)載運行符合用戶安全系統(tǒng)界面界面顯示功能正常顯示其中，本系統(tǒng)重點功能測試效果如下所示：1.漏洞掃描過程測試當(dāng)操作員新建掃描任務(wù)后，系統(tǒng)開始對操作員填寫的掃描信息進(jìn)行爬蟲分析，隨后將爬取到的數(shù)據(jù)包匹配漏洞策略，將其發(fā)送后將返回包再次分析如觸發(fā)漏洞驗證策略則漏洞驗證成功。具體測試效果如圖6-1所示。圖6-1測試結(jié)果展示2.XSS跨站腳本攻擊漏洞掃描測試在新建任務(wù)中只選擇XSS漏洞策略開始掃描，當(dāng)掃描任務(wù)結(jié)束后導(dǎo)出報告，查看掃描結(jié)果并驗證漏洞的正確性，成功驗證掃描漏洞并利用XSS漏洞觸發(fā)彈窗。具體測試效果如圖6-2所示。圖6-2測試結(jié)果展示3.SQL注入漏洞掃描測試在新建任務(wù)中只選擇SQL注入漏洞策略開始掃描，當(dāng)掃描任務(wù)結(jié)束后導(dǎo)出報告，查看掃描結(jié)果并驗證漏洞的正確性，成功驗證掃描漏洞并通過漏洞查看到數(shù)據(jù)庫信息。具體測試效果如圖6-3所示。圖6-3測試結(jié)果展示4.與開源漏洞掃描工具對比本小結(jié)重點討論系統(tǒng)與其他開源漏洞掃描工具的優(yōu)劣性，將選擇AWVS與Nessus倆款安全行業(yè)內(nèi)知名開源漏洞掃描平臺進(jìn)行對比。為確保數(shù)據(jù)可靠性，測試環(huán)境將選取在同一網(wǎng)絡(luò)和運行主機下并選取同一的測試目標(biāo)進(jìn)行。平臺對比測試數(shù)據(jù)如下表6-5所示。表6-5平臺對比測試漏掃平臺掃描時間漏洞數(shù)量準(zhǔn)確率Web漏洞掃描平臺45min16個81%AWVS平臺24min15個90%Nessus31min17個78%第三方插件工具掃描14min23個45%通過統(tǒng)計數(shù)據(jù)，可得到結(jié)論，本系統(tǒng)準(zhǔn)確率和漏洞掃描數(shù)量上與其他開源產(chǎn)品基本保持一致有時會更有優(yōu)勢，缺點上掃描線程相對于其他產(chǎn)品上占用時間長，并對硬件的要求比其他產(chǎn)品高?？偨Y(jié)與展望隨著Web2.0技術(shù)的發(fā)展，Web應(yīng)用越來越復(fù)雜，Web安全問題在近些年來變得十分突出，給企業(yè)和用戶造成了非常大的經(jīng)濟(jì)損失，各大政府部門、金融、教育行業(yè)也紛紛開始重視網(wǎng)絡(luò)安全的發(fā)展，網(wǎng)絡(luò)安全意識也得到了不斷的增強。各行業(yè)在互聯(lián)網(wǎng)預(yù)算中也加大了網(wǎng)絡(luò)安全專項預(yù)算的經(jīng)費，在高價購買大量的安全防護(hù)產(chǎn)品的同時，挖掘網(wǎng)站本身漏洞也得到了重視。各行業(yè)紛紛使用漏洞掃描器對本單位網(wǎng)站進(jìn)行漏洞掃描。因此漏洞掃描器的發(fā)展起到了維持互聯(lián)網(wǎng)系統(tǒng)的重要作用。本文在分析研究各種漏洞的原理和漏洞掃描技術(shù)之后，實現(xiàn)了一個高可用性，可擴(kuò)展性，性能良好的Web應(yīng)用漏洞掃描器，本文的主要工作如下:首先分析在人們?nèi)粘：凸ぷ鞫茧x不開互聯(lián)網(wǎng)的大環(huán)境下，Web安全問題對人們可能造成的影響和危害。結(jié)合研究背景，設(shè)計一款Web漏洞掃描平臺，并分析代碼層安全、應(yīng)用層安全、系統(tǒng)層安全的各種漏洞。分析了爬蟲技術(shù)的一種進(jìn)階技術(shù)分布式爬蟲，在基礎(chǔ)的爬蟲技術(shù)上進(jìn)行的一種擴(kuò)展型技術(shù)，在本系統(tǒng)中起到了重要的作用。設(shè)計完成Web漏洞掃描平臺，主要功能有掃描任務(wù)的創(chuàng)建、策略管理、用戶管理以及系統(tǒng)配置。最后在系統(tǒng)測試階段，完成了系統(tǒng)的基礎(chǔ)功能測試、核心功能測試以及和倆款開源的漏洞掃描器進(jìn)行了各項指標(biāo)的對比。驗證了本系統(tǒng)中所研究技術(shù)的可行性。在Web漏洞掃描系統(tǒng)的構(gòu)建過程中，該系統(tǒng)的設(shè)計實現(xiàn)基本完成，但也發(fā)現(xiàn)一些問題，系統(tǒng)硬件需求過高、掃描線程時間過長、漏洞研判的準(zhǔn)確率還需要提高。希望在將來逐漸完善使系統(tǒng)更具有實用性和健全性。參考文獻(xiàn)陳禹.Web漏洞掃描器一覽[J].計算機與網(wǎng)絡(luò),2018,42(20):56-57.劉明明.Web應(yīng)用漏洞掃描器的設(shè)計與實現(xiàn)[D].電子科技大學(xué),2014.劉洋洋.基于Nessus漏洞掃描系統(tǒng)的研究與優(yōu)化[D].電子科技大學(xué),2020.賈召鵬.面向防御的網(wǎng)絡(luò)欺騙技術(shù)研究[D].北京郵電大學(xué),2018.王世偉,曹磊,羅天雨.再論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報,2019,42(05):4-28.李業(yè)謙.網(wǎng)絡(luò)空間安全與其攻防技術(shù)的研究[J].信息與電腦(理論版),2019,31(22):183-185.王亞東.基于插件的Web應(yīng)用漏洞掃描系統(tǒng)設(shè)計與實現(xiàn)[D].東南大學(xué),2019.龔儉,臧小東,蘇琪,胡曉艷,徐杰.網(wǎng)絡(luò)安全態(tài)勢感知綜述[J].軟件學(xué)報,2017,28(04):1010-1026.陳晶潔.高性能Web應(yīng)用漏洞掃描系統(tǒng)的設(shè)計與實現(xiàn)[D].北京郵電大學(xué),2019.楊欽.面向Web的分布式漏洞掃描器的設(shè)計與實現(xiàn)[D].武漢輕工大學(xué),2019.尹健.計算機軟件安全檢測技術(shù)分析[J].輕工科技,2021,37(05):90-91.陳廣勇,祝國邦,范春玲.《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》(GB/T28448-2019)標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全,2019(07):1-7.曲潔,范春玲,陳廣勇,趙勁濤.新時代下網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)思路[J].信息網(wǎng)絡(luò)安全,2019(01):83-87.張智洋.新時代中國網(wǎng)絡(luò)安全建設(shè)研究[D].吉林大學(xué),2020.盧堅.“9·11”事件后美國網(wǎng)絡(luò)空間安全戰(zhàn)略研究[D].戰(zhàn)略支援部隊信息工程大學(xué),2019.MicroFocus.動態(tài)應(yīng)用安全測試(DAST):FortifyWebInspectWebInspect[EB/OL]./zh-cn/products/Webinspect-dynamic-analysis-dast/overview,2020-01.JevriTriArdiansah,AjiPrasetyaWibawa,TriyannaWidyaningtyas.SQLLogicErrorDetectionbyUsingStartEndMidAlgorithm[J].KnowledgeEngineeringandDataScience,2019,1(1):1-11.Steinhauser,Antonin,Tuma.DjangoChecker:ApplyingextendedtainttrackingandserversideparsingfordetectionofcontextsensitiveXSSflaws[J].Software:PracticeandExperience,2019-WileyOnlineLibrary,2019(1):1-6.Acunetix.WebApplicationSecurityScanner[EB/OL].,2020-01.Baruk?i?I.,ChenJingxia,ChenXiuling,YuBo.DesignofWebvulnerabilityscannerbasedongolanguage[J].MATECWebofConferences,2021,336.RichardAmankwah,JinfuChen,PatrickKwakuKudjo,DaveTowey.Anempiricalcomparisonofcommercialandopen‐sourceWebvulnerabilityscanners[J].Software:PracticeandExperience,2020,50(9).MuhammadNomanKhalid,Muhammadiqbal,KamranRashe