摘要
随着互联网技术的迅猛发展，基于Web的应用程序不断增多，广泛应用于生活、工作等领域，Web应用程序具有使用简单、开发方便和共享方便等优点。Web应用程序往往是对互联网开放的，用户只需要通过浏览器就可以访问到目标站点，所以，如果目标站点存在一定的安全漏洞，就很容易被攻击者所利用。Web漏洞往往会造成巨大的危害：机密信息被窃取、目标服务器被控制等。造成Web攻击事件的根本原因是Web应用程序存在漏洞，要减缓甚至阻止攻击的事件的发生，应在Web应用程序投入使用之前就发掘其存在的漏洞，尽早修复Web应用程序的漏洞。
针对Web应用程序的漏洞问题，本文的主要目标是设计并实现一个使用简单、功能强大、性能良好的Web应用漏洞检测工具。该工具能够检测出包括SQL注入和XSS漏洞在内的常见Web漏洞，误报率、漏报率较低，具有较高的检测效率和正确率，并且能够生成扫描结果报告。
首先，本文分析了国内外的研究现状，对现有的Web应用漏洞检测工具进行了分析。研究了Web应用的相关技术，主要包括HTTP协议和网络爬虫技术。分析了SQL注入漏洞和XSS漏洞的原理和分类，并总结了它们的攻击技巧。在XSS漏洞检测过程中，先用合法字符串作为检测脚本进行探测，再根据其结果选择用攻击性的检测脚本进行进一步的测试，能够有效提高检测效率。
在以上的知识基础上，本文的重点工作是对Web应用漏洞检测系统进行了详细的需求分析和设计，把系统划分为几个功能模块，编写代码实现了本文的Web应用漏洞检测系统，详细分析了系统的具体实现原理和过程。最后对系统进行了功能测试和性能测试，测试结果表明该系统的功能和性能都基本达到了预期的要求，能够有效的帮助用户发现漏洞。
关键词：web安全；漏洞检测；SQL注入；XSS
fABSTRACT
Withtherapiddevelopme
tofI
ter
ettech
ologyWebbasedapplicatio
sarewidelyusedi
lifeworka
dsoo
Webbasedapplicatio
saresimpletouseeasytodevelopa
dsharesoitisverypopularWebapplicatio
sareope
tothei
ter
etuserwhichmakesuso
lyuseabrowsertoaccesstothetargetwebSoiftherearesomevul
erabilitiesi
thetargetsiteitiseasytobeexploitedbyattackersVul
erabilitiesofte
causegreatharmforexampleco
fide
tiali
formatio
isstole
webserversareu
derco
trolbyvictimsa
dsoo
Themai
reaso
whywebsareattackedisthattherearesomebugsi
webapplicatio
sSoi
ordertoslowdow
orpreve
ttheoccurre
ceofattackweshouldfi
dthebugsi
webapplicatio
sbeforetheyareputi
tousea
drepairthebugs
Themai
objectofthispaperistodesig
a
dimpleme
tasimpler