基于python实现web漏洞挖掘技术的研究(django)

基于python实现web漏洞挖掘技术的研究(django)

  • 开发语言:Python

  • 数据库:MySQL
  • 所用到的知识:网络爬虫,SQL注入,XSS漏洞
  • 工具:pycharm、Navicat、Maven

系统的实现与漏洞挖掘

系统的首页面

此次的系统首页面是登录的页面,需要用户完成登录后才能够在网站中实现爬虫的功能应用

洞挖掘网站首页页面

        在登录完成后,系统会进入到web漏洞挖掘的网站首页,在该页面中有爬取的总URL数、高危漏洞数、中危漏洞数以及低危漏洞数等。并且其他的功能菜单还有漏洞总览、漏洞详情等功能,配合有个人信息的维护管理的功能模块。如下图所示

漏洞详情页面

        在漏洞详情中,能够看到逐条显示的URL漏洞的名字、关联编号以及漏洞的危险等级等,通过这些信息的归类可以完成对漏洞的详细内容展示的功能实现,如下图所

绪论

1.1 研究背景

通过多年的不断发展,当下的互联网技术已经发展日趋成熟,网络中的网站数量每日都在有新的突破,具相关调查,截止到2021年末全世界的网站数量已经突破12亿,庞大的网站群体为人们的生活带来了各式各样的不同的内容服务。而在我国,网络的发展也在不断进步,我国虽然网络化起步相对较晚,但是我国的网络的发展速度飞快,截止到2021年末我国的网民人数已经高达11亿人,网络的普及率又上了一个新的台阶。现如今的网络技术发展日新月异,人们利用网络来进行日常的办公、银行服务、购物服务、游戏以及娱乐等等,越来越丰富的网络应用也使得网络的环境越来越复杂。具web应用安全年报显示,每年对于web的突发性攻击事件频发,全球每年大概有超过5000万次的网络攻击出现,这些攻击中主要就是集中在对于漏洞的攻击,SQL注入攻击等,这些都是因为网站存在缺陷而造成的,通过漏洞来攻击网站对于网站的安全管理而言是一次巨大的挑战。

伴随着网络的日趋强大,网络的安全问题也日显突出。现在网络的安全问题已经成为了全球的安全性问题,是每一个国家、每一级政府都在高度关注的一项重要的内容,所以现如今如何能够快速的找到网络漏洞,能够通过扫描技术来查找到漏洞风险等级是检测网站是否安全的最为基础的一项服务工作。这种构建方式是通过以探测某个网络漏洞的数据包,通过发送HTTP的访问请求,然后从服务器的反应信息中进行特定的漏洞查找,从而对漏洞进行精准的定位。Web的漏洞扫描技术是一项模拟攻击的方法,通过对系统进行模拟攻击的方式来查找具体的漏洞内容,实际上并不会对系统造成真正的伤害。

1.2 研究意义

随着当下的网络安全的问题日益的凸显,人们在网络安全方面有着更为强大的需求要求,需要有一些可用的软件能够实时的对web应用进行严格的内容评估,从而能够增强web的安全性,检测出web可能存在的相关问题,从而更快的找到问题所在并且降低可能出现的安全性问题。网络漏洞扫描技术能够通过以攻击者的视角出发,通过模拟对程序的攻击来认识到程序可能存在的风险,从而更快速的找到问题的所在,实现有效的漏洞补丁完善等功能实现。漏洞挖掘扫描技术是一种主动的防御过程,是未雨绸缪的一种防护手段。这种手段能够通过提前对web进行渗透扫描来了解到网页的运行参数、时间参数等信息内容,从而通过扫描形成的检测报告来查找到系统中可能存在的威胁情况。而本次就是通过了Python技术来打造一款能够实现有效的网页漏洞扫描的主要功能实现,通过对网页的提前扫描来主动的进行安全的检测,之后再通过可视化的图表方式来对查找到的漏洞情况进行直观的展示,从而能够有效的为用户提供提醒或者警示的作用,告诉用户该网站是否安全,做好提前的使用判断。

1.3 研究现状

我国对于安全漏洞的扫描研究在近些年取得了长足的进步,本次对部分的研究文献进行了如下的归纳:

吴柳在其对跨站脚本攻击检测的研究中,通过在HTML5技术下的一些网页的特点进行研究时,重点的对于漏洞扫描技术进行了分析,通过分析来查找出现在HTML5技术所支持的网页中可能存在的新功能、矢量不完整等缺陷,通过HTML5的新的漏洞检测功能的运用来通过遗传算法检测网络应用程序的安全性。

季硕在利用分布式的爬虫技术对web应用的漏洞进行扫描的研究中发现,在JavaScript技术开发的程序,通过漏洞的扫描能够对JavaScript代码进行有效的检测,能够通过基于状态图的方式来进行漏洞的不同状态划分,从而更好的形成一个整体的动态的扫描过程,实现逻辑清晰的扫描实现。

陆艳华在web应用漏洞检测的研究中,通过对web漏洞的多样性和现有的漏洞扫描技术存在的缺陷进行深入的剖析,通过基于爬虫和特征的辨别的方式来探索一种新的漏洞探索模式,通过多个不同的模型进行改进和优化,实现了高扩展、高可用性的漏洞扫描系统的开发和运行。

孙晓飞在对文本应用漏洞的检测中,对于漏洞检测技术的优缺点进行了详细的内容阐述,另外从襄樊的方向来阐述当下的网站也应当具备反爬虫的能力,做到更好的防护实现

结论与展望

5.1结论

网络技术经历了长达数年的发展之后,现在已经进入了千家万户,成为了人们日常离不开的一项常规工具,为人们的日常工作和生活提供了很好的帮助。但是网络安全问题也逐渐的凸显。特别是网络漏洞,一直被一些别有用心的人们利用,从而盗取个人信息,造成个人的财产损失。更有甚者,会对国家的稳定造成影响。本次是通过以漏洞挖掘来作为主要的研究内容,从攻击者的角度来对现在的诸多网站进行模拟攻击,通过爬虫技术的支持来进行网络漏洞扫描。通过这种技术方式来对制定的URL地址进行检测,并且能够通过直观的表格方式来呈现出最终的测试结果,有着很好的实用价值

需要源代码或者二次开发的,请联系

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/565613.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

(二)Servlet教程——我的第一个Java程序

首先打开记事本,输入如下的代码,请注意字母的大小写 public class MyFirst{ public static void main(String[] args){ System.out.println("This is My first Java..."); } } 将该txt文件命名为MyFirst.java 打开cmd命令行窗口&#xff0…

100吨微机控制电液伺服钢绞线拉伸试验机

一、简介 主机为四立柱、两丝杠、油缸下置式,拉伸空间位于主机的上方,压缩、弯曲试验空间位于主机下横梁和工作台之间。测控系统采用全数字多通道闭环测控系统,具有三闭环功能,即可以进行应力、应变、位移闭环等控制方式&#xf…

ThingsBoard通过规则链使用邮件发送报警信息

1、描述 2、通过规则链路配置发送邮件只需 两步 3、案例 1、基础链路 2、选择变换节点里面的To Email 3、 编辑节点to email 4、 将创建告警与to email链接 5、选择外部节点中的send email 6、配置邮箱相关信息,如过不知道密钥如何获取的,请查看下…

Java转go,我用了12小时,10小时在解决环境问题

Part1 问题背景 作为一个资深的Java开发者,我深知面向对象的高级语言,语法是不用学的。需要的时候搜索就可以了,甚至可以用ChatGPT来写。 之前我做一个安全多因素校验服务。因为是临时服务,扩展性上基本没有要求,为了快…

Opensbi初始化分析:设备初始化

Opensbi初始化分析:设备初始化 设备初始化sbi_init函数coldinit,冷启动初始化sbi_scratch_init函数sbi_domain_init函数sbi_hsm_initsbi_platform_early_initsbi_hart_initsbi_console_initsbi_platform_irqchip_init中断控制器的初始化sbi_ipi_init函数…

AutoPSA的埋地数据

用户在使用埋地算法时,问“不排水抗剪强度”什么意思? A:这个是土壤的参数,如果不填,软件会自动计算. 还有,垫片厚度,覆土压实乘子的数据没有从AutoPDMS导出时,需要手动输入一下。 其他&#…

【数据结构】二叉树链式结构的实现《遍历,实现》(题库+解析+源码)

前言 二叉树的学习离不开对堆的理解,这是上篇堆的传送门 http://t.csdnimg.cn/F6Jp3 1.二叉树链式结构的实现 1.1 前置说明 在学习二叉树的基本操作前,需先要创建一棵二叉树,然后才能学习其相关的基本操作。由于现在大家对二 叉树结构掌握还…

Linux中inode号与日志分析

一.inode号 1.inode表结构 元信息:每个文件的属性信息,比如:文件的大小,时间,类型,权限等,称为文件的元数据(meta data 元信息 ) 元数据是存放在inode(index node)表中…

python基础知识二(标识符和关键字、输出、输入)

目录 标识符和关键字: 什么是标识符? 1. 标识符 2. 标识符的命名规则 什么是关键字? 1. 关键字 2. 关键字的分类 标识符和关键字的区别: ​​​输出: 1. 普通的输出 2. 格式化输出 格式化操作的目的&#…

【电控笔记6.3】采样-Z转换-零阶保持器

本质 数字转模拟:零阶保持器 采样 z-1所描述的物理意义即为延迟T时间的拉氏转换e-sT 信号采样延时

AI音乐:探索变现之路的新篇章

随着科技的飞速发展,人工智能(AI)已经渗透到我们生活的方方面面,音乐领域也不例外。AI音乐作为一种新兴的音乐创作方式,正逐渐改变着传统音乐产业的格局。然而,如何将AI音乐变现,成为了摆在众多…

SFP、SFP+、SFP28 与 QSFP28 收发器之间的差异:兼容性和性能

近年来,网络技术发展迅速,因此,计算专业人员面临着越来越令人困惑的术语和缩写词。 管理数据中心时必须了解的一个关键领域是收发器,特别是 SFP (1550nm/1310nm)、SFP (850nm) 和 QSFP28 (4x25G) 之间的差异。 这些型号在兼容性方…

密钥密码学(二)

原文:annas-archive.org/md5/b5abcf9a07e32fc6f42b907f001224a1 译者:飞龙 协议:CC BY-NC-SA 4.0 第十章:可变长度分数化 本章涵盖 基于摩尔斯电码的密码 混合字母和双字母 可变长度二进制码字 基于文本压缩的密码 本章涵盖…

YOLOv9有效改进专栏汇总|未来更新卷积、主干、检测头注意力机制、特征融合方式等创新![2024/4/21]

​ 专栏介绍:YOLOv9改进系列 | 包含深度学习最新创新,助力高效涨点!!! 专栏介绍 YOLOv9作为最新的YOLO系列模型,对于做目标检测的同学是必不可少的。本专栏将针对2024年最新推出的YOLOv9检测模型&#xff0…

DevOps流程的简单总结

DevOps流程图: DevOps流程包含:计划(plan)、编码(code)、编译(build)、测试(test)、发布(release)、部署(deploy)、运营(operate)、监控(monitor),这是一个循环的过程。DevOps是依托容器、自动化…

下级平台级联EasyCVR视频汇聚安防监控平台后,设备显示层级并存在重复的原因排查和解决

视频汇聚平台/视频监控系统/国标GB28181协议EasyCVR安防平台可以提供实时远程视频监控、视频录像、录像回放与存储、告警、语音对讲、云台控制、平台级联、磁盘阵列存储、视频集中存储、云存储等丰富的视频能力,平台支持7*24小时实时高清视频监控,能同时…

【爬取研招网指定学校专业信息】

前言 本文介绍了如何使用 Python 的 requests 库和 BeautifulSoup 库来爬取研究方向信息,并将其保存为 CSV 文件。爬取的网站为“中国研究生招生信息网”(https://yz.chsi.com.cn/)。代码从指定的专业目录页面爬取研究方向的相关信息&#x…

Pycharm/Dataspell中使用jupyter导入ros humble包

配置ros humble对应python包路径文件 首先在~/.local/lib/python3.10/site-packages目录下新建一个.pth文件,如下图所示。 将对应的ros humble的python包的路径配置在上述文件中,一行放置一个路径,对应的路径如下图所示。 完成上述操作后…

IP地址定位技术引发的个人隐私保护问题

IP地址定位技术对互联网的影响深远且多面,它不仅改变了网络管理与优化的方式,还极大地推动了在线广告营销、电子商务、地理信息服务等多个领域的发展。然而,与此同时,它也引发了一系列关于个人隐私保护的问题。 首先,I…

太奇怪了!99%的人没见过的Oracle故障:网络恢复后,集群的监听和vip无法启动

故障描述 15:46操作系统日志出现net4、net5网卡down,15:53分钟的网络恢复。网络中断是由于db汇聚交换机出现了问题。 网络恢复后,节点1的监听和vip无法启动。 故障分析 查看grid alert日志可以看到监听资源确实没有正常启动。 由于监听资源是crs的Ora…