Web渗透平台项目文档概要设计

“Web渗透测试平台”概要设计报告文件状态：[√]草稿[]正式发布[]正在修改文件标识：当前版本：V1.0作者：马炅完成日期：2015-4-07目录1.引言..................................................................................................................................................31.1编写目的................................................................................................................................31.2系统概述................................................................................................................................31.3读者对象................................................................................................................................31.4参考文档................................................................................................................................32.系统体系结构设计..........................................................................................................................42.1整体功能结构........................................................................................................................42.2系统总体平台设计................................................................................................................51.引言1.1编写目的本文档是“Web渗透测试平台”的详细概要设计报告，详细阐述了系统的体系结构设计、主要功能模块与流程、开发环境的配置、运行环境的配置和测试环境的配置。1.2系统概述本系统名为“Web渗透测试平台”。本系统主要实现以下功能：a)爬取目标网站的网页；b)解析爬取网页的标签提取注入点；c)自动进行攻击测试，根据服务器响应得出攻击结果。d)输出结果报告。本系统旨在自动进行web应用的渗透测试，发现web应用存在的漏洞，让开发人员及时修改以最大限度的保证web应用的安全。1.3读者对象系统用户与软件开发人员，对系统用途、实现功能等达成共识。软件设计人员系统架构设计，系统功能模块设计，系统接口设计等。软件测试人员测试用例编写，功能测试等。1.4参考文档2.系统体系结构设计2.1整体功能结构Web渗透测试平台一个基于爬虫的web应用自动渗透测试平台系统，该系统能够对Web应用进行自动渗透攻击，通过服务器响应信息，分析web应用存在的漏洞，为用户提供Web应用的安全状态以及存在的漏洞隐患。该系统采用MVC架构将视图层、业务逻辑层和数据层分开，将此工具的各个职能分开。使用模块化的设计理论，在视图层主要设计了用户接口模块和漏洞报告模块；在业务逻辑层设计了爬取模块，分析模块，解析模块，检测模块和攻击记录模块；在数据层包含漏洞特征库、攻击字符串库以及攻击记录库。系统整体功能如图2-1所示：图2-1系统总体平台设计图2-2系统整体功能结构用户接口层用户接口漏洞报告逻辑层爬取模块记录模块检测模块解析模块分析模块数据层漏洞特征库攻击记录库攻击字符串库2.2系统总体平台设计系统总体平台设计如图2-1所示：图2-2系统总体平台设计Web应用挖掘漏洞系统总的分为5个部分:网页抓取模块、分析模块、检测模块、记录模块和报告模块。系统各部分的功能如下:网页抓取模块:负贵对网站站点的网页进行遍历下载所有html的内容,包括对无效、重复网页、重复注入点进行过滤。分析模块:其又分为两个子模块I.解析模块:对网页抓取模块所提取的网页内容进行遍历来进行网站结构的建立;提取有效注入点,如表单等相关可能与服务器进行交互的关键信息,记录请求的内容。然后将注入点以及注入点相关信息(如请求字段等)传递给检测块。II.分析判断模块:分析检测模块请求服务器后服务器所作出的响应,判断响应,将结果递交给检测模块继续进行检测以及保存信息到记录器里。检测模块:针对不同注入点,从检测数据库里提取相应检测字段,并将其组成有效的请求发送给服务器。记录模块:分析器确认对于某个注入点的一次完整检测结束后,若此注入点可注入,则将其漏洞信息传递给记录模块进行保存,记录模块将信息重新组织分析,并根据扣应的规则进行评估;然后将评估信息传递给报告模块。报告模块:根据记录模块的生成信息,生成对于某个网站的扫描结果报告,对于每个漏洞有简单的描述及修补策略。另外,数据库主要足由两部分构成:数据库信息库:保存了多种数据库的特征,如对错误的提示信息用于进行匹配,从而精确地判断数据库的类型及版本等重要信息,缩小检测的范闱以达到提高效率的目的。检测字符串信息库:保存了各种能够导致SQL注入产生的检测字符串。