PHP Web应用程序安全性研究及安全漏洞检测工具开发

摘要

随着人人网、微博等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛。利用PHP(Hypertext Preprocessor)所搭建的Web应用程序是目前互联网中最为广泛的Web应用。然而，PHP Web应用程序中存在许多安全漏洞，这些安全漏洞给服务器及用户都带来了很大的安全隐患。因此，本文对PHP Web应用程序的安全性进行了研究并利用Python开发了一个针对PHP Web应用程序安全漏洞检测的平台，在此平台基础上实现了一些高风险安全漏洞的检测。本文的主要工作如下：
　　 1)总结分析了PHP Web应用程序中常见的安全漏洞，给出了相关的防御措施；
　　 2)归纳了目前主流的漏洞扫描技术及常用的Web应用程序安全漏洞扫描工具，同时对这些工具的功能和不足进行了分析；
　　 3)设计了一个针对PHP Web应用程序安全漏洞进行检测的安全平台VulScanner，在此平台的基础上开发了一系列插件。这些插件实现了对PHPWeb应用程序中存在的SQL注入漏洞、文件包含漏洞、PHP代码注入漏洞及代码执行漏洞的检测。
　　 通过与主流的商用Web安全审计工具Wvs及开源工具W3af进行对比测试，测试结果表明本文所设计的安全检测平台对上述安全漏洞的检测是十分有效的。