企业实训答辩课件(网站扫描器).ppt

暴力破解模块介绍 1 模块简介 主要功能:对登陆网页使用大量的常用用户名和密码组合尝试登陆，直到找到正确的组合 具体截图: 2 类，方法设计 JPanelBruteForceTab类：负责暴力破解模块的界面绘制和过程控制 BruteForce类：负责暴力破解的具体执行，向目标URL发起get/post的提交。为了实现多线程下参数的传入与返回，实现了Callable接口 3 关于界面 WebScanMainFrame类：主界面绘制 3 关于界面 JPanelWebSiteList类：负责网站列表视图的绘制与维护 跨站脚本检测模块介绍 1 模块简介 功能:把一个通过爬虫获取的网站，通过检测得到存在跨站的URL队列，并对其具体做跨站解析得到漏洞具体位置 大致检测步骤: (1)对一个传入URL进行网页解析 (2)存储可能存在跨站的标签 (3)通过检测类正则表达式检测标签中是否存在跨站代码 (4) 通过构造跨站代码检测URL地址栏和表单是否存在跨站 (5)将跨站的具体信息存入数据库中。进行过滤检测 2 功能模块流程图 3 类，方法设计 SQL注入检测模块介绍 1 模块简介 模块功能：对给定的URL，判断是否存在注入点及注入类型（数值型、字符型），判断数据库类型，猜解表名，猜解字段，猜解内容 模块检测步骤： (1)添加SQL语句获取网页 (2)将得到的网页与原网页作对比，从而判断是否存在注入 (3)若存在注入，判断注入类型及数据库类型 (4)根据数据库语法规则与注入类型，构造不同的SQL语句，并读取表名字典内容，字典式攻击表名 (5)读取字段字典内容及之前得到的表名猜解字段名 (6)读取之前得到的表名和字段名猜解记录数目、每个条目的长度，按位依次猜解字段内容 2 功能模块流程图 3 类，方法设计 时间表 7月 8月 … 点击添加文本 点击添加文本 点击添加文本 点击添加文本 2-3 总结 在本项目框架上添加更多功能 -缓冲区溢出检测 -XML注入漏洞检测 …… 目前处于实验室阶段，进一步完善功能、界面、可靠性，使之达到商用软件标准 已完成需求文档中的所有功能要求 -网络爬虫 -SQL注入检测 -网页木马 -检测跨站脚本检测 -暴力破解登录 -表单绕过 实用性、复用性、安全性高 团队齐心协力 Web Scanner By Group 3 2016 1-1 前言 1-2 产品简介 1-3 组员分工 2-1 产品功能说明 2-2 QA 2-3 总结 点击添加文本 点击添加文本 点击添加文本 点击添加文本 目录 点击添加文本 点击添加文本 点击添加文本 点击添加文本 1-1 前言 Web应用程序和服务的增长已超越了程序开发人员所接受的安全培训和安全意识的范围 Web应用系统的安全风险达到了前所未有的高度 Web应用程序渐渐成为黑客和恶意用户等攻击者的主要攻击目标 如何确保Web应用程序的安全已经成为政府、企业，甚至是银行等金融行业所面临的主要挑战 点击添加文本 点击添加文本 点击添加文本 点击添加文本 1-2 产品简介 三个模块: 网络爬虫模块 安全渗透注入模块 漏洞分析模块 基于网络爬虫的Web应用安全渗透测试工具 三个优点: 效率良好 准确性高 扩展性强 1-3 组员分工 表单绕过模块 木马扫描模块 界面暴力破解模块 跨站脚本检测 SQL注入检测 ppt,文档制作 点击添加文本 点击添加文本 点击添加文本 点击添加文本 2-1 产品功能说明 (3)暴力破解登陆 (1)表单绕过 (2)木马扫描 (4)跨站脚本检测 (5)SQL注入检测 表单绕过模块介绍 返回值 方法名 功能 参数说明 无 FormCross() 构造方法，初始化类的属性 JPanelFormPass_chy jFormPass_chy 界面传参对象 String hasCross() 判断是否有表单绕过 String urlString 待处理的URL ListString Cross() 进行表单绕过 String urlString 待处理的URL Tags getForm() 获取表单 String urlString 待处理的URL ? boolean ? submit() 提交表单数据 URL url 待处理的URL String content1 String content2 提交表单的参数 表25 FormCross类 表单绕过检测功能 运用万能密码：`or``=`判断是否登陆成功 设置连接属性：httpURLConnection.setInstanceFollowREdirects(f