“Web渗透测试平台”
概要设计报告
目 录
1. 引言................................................................................................................................ 3
1.1 编写目的................................................................................................................. 3
1.2 系统概述................................................................................................................. 3
1.3 读者对象................................................................................................................. 3
1.4 参考文档................................................................................................................. 3
2. 系统体系结构设计........................................................................................................... 4
2.1 整体功能结构.......................................................................................................... 4
2.2 系统总体平台设计................................................................................................... 5
1. 引言
1.1 编写目的
本文档是“Web渗透测试平台”的详细概要设计报告,详细阐述了系统的体系结构设计、主要功能模块与流程、开发环境的配置、运行环境的配置和测试环境的配置。
1.2 系统概述
本系统名为“Web渗透测试平台”。本系统主要实现以下功能:
a) 爬取目标网站的网页;
b) 解析爬取网页的标签提取注入点;
c) 自动进行攻击测试,根据服务器响应得出攻击结果。
d) 输出结果报告。
本系统旨在自动进行web应用的渗透测试,发现web应用存在的漏洞,让开发人员及时修改以最大限度的保证web应用的安全。
1.3 读者对象
l 系统用户
与软件开发人员,对系统用途、实现功能等达成共识。
l 软件设计人员
系统架构设计,系统功能模块设计,系统接口设计等。
l 软件测试人员
测试用例编写,功能测试等。
1.4 参考文档
2. 系统体系结构设计
2.1 整体功能结构
Web渗透测试平台一个基于爬虫的web应用自动渗透测试平台系统,该系统能够对Web应用进行自动渗透攻击,通过服务器响应信息,分析web应用存在的漏洞,为用户提供Web应用的安全状态以及存在的漏洞隐患。该系统采用MVC 架构将视图层、业务逻辑层和数据层分开,将此工具的各个职能分开。使用模块化的设计理论,在视图层主要设计了用户接口模块和漏洞报告模块;在业务逻辑层设计了爬取模块,分析模块,解析模块,检测模块和攻击记录模块;在数据层包含漏洞特征库、攻击字符串库以及攻击记录库。系统整体功能如图2-1所示:
图2-1 系统总体平台设计
图2-2 系统整体功能结构
2.2 系统总体平台设计
系统总体平台设计如图2-1所示:
图2-2 系统总体平台设计
Web应用挖掘漏洞系统总的分为5个部分:网页抓取模块、分析模块、检测模块、记录模块和报告模块。
系统各部分的功能如下:
网页抓取模块:负贵对网站站点的网页进行遍历下载所有html的内容,包括对无效、重复网页、重复注入点进行过滤。
分析模块:其又分为两个子模块
I.解析模块:对网页抓取模块所提取的网页内容进行遍历来进行网站结构的建立;提取有效注入点,如表单等相关可能与服务器进行交互的关键信息,记录请求的内容。然后将注入点以及注入点相关信息(如请求字段等)传递给检测块。
II.分析判断模块:分析检测模块请求服务器后服务器所作出的响应,判断响应,将结果递交给检测模块继续进行检测以及保存信息到记录器里。
检测模块:针对不同注入点,从检测数据库里提取相应检测字段,并将其组成有效的请求发送给服务器。
记录模块:分析器确认对于某个注入点的一次完整检测结束后,若此注入点可注入,则将其漏洞信息传递给记录模块进行保存,记录模块将信息重新组织分析,并根据扣应的规则进行评估;然后将评估信息传递给报告模块。
报告模块:根据记录模块的生成信息,生成对于某个网站的扫描结果报告,对于每个漏洞有简单的描述及修补策略。
另外,数据库主要足由两部分构成:
数据库信息库:保存了多种数据库的特征,如对错误的提示信息用于进行匹配,从而精确地判断数据库的类型及版本等重要信息,缩小检测的范闱以达到提高效率的目的。
检测字符串信息库:保存了各种能够导致SQL注入产生的检测字符串。
第二篇:渗透试验
渗透试验
专业班级 港航5班 学号 姓名 同组者
实验编号 实验名称 渗透试验
实验日期 2012.10.10 批报告日期 成绩 教师签名
一、 试验目的
测量土体的渗透系数k。
二、 试验原理
渗透试验原理就是在试验装置中测出渗流量,不同点的水头高度,从而计算出渗流速度和水力梯度,代入(8-1)式计算出渗透系数。
(8-1)
由于土的渗透系数变化范围很大,自大于10-1cm/s到小于10-7cm/s,故实验室内常用两种不同的试验装置进行试验:常水头试验装置用来测定渗透系数k比较大的无凝聚性土的渗透系数;变水头渗透试验装置用来测定渗透系数k比较小的凝聚性土的渗透系数。特殊设计的变水头试验测定粗粒渗透系数和常水头试验测定渗透性极小的粘性土渗透系数也很常用。
三、 试验设备及试验操作
(一) 常水头试验
1. 仪器设备
(1)70型渗透仪;
(2)附属设备:木锤、秒表、天平等。
2. 操作步骤
(1)装好仪器,检查是否漏水。将调节管与供水管相连,由仪器底部充水至水位达到金属透水板顶面时,放入滤纸,关止水夹;
(2)取代表性风干土样3~4kg,称重精确至1g,测定风干含水率;
(3)将试样分层装入仪器,根据预定孔隙比控制试样密度。每层装完后从调节管进水至试样顶面。最后一层应高出上测压管孔3~4cm。待最后一层试样饱和后,继续使水位上升至圆筒顶面。将调节管卸下,使管口高于圆筒顶面,观测三个测压管水位是否与孔口齐平;
(4)量测试样顶面至筒顶余高,计算出试样高度。称量剩余土样,计算出装入质量,计算试样干密度和孔隙比;
(5)供水管向圆筒顶面供水,使水面始终保持与渗透仪顶面齐平,同时降低调节管高度,形成自下向上方向的渗流。固定调节管在某一高度,过一段时间后,三个测压管水位达到稳定值,表明形成稳定渗流场;
(6)记录三个测压管水位H1,H2,H3,则测压管Ⅰ和Ⅱ水位差为h1= H1-H2,测压管Ⅱ和Ⅲ的水位差为h2= H2-H3。计算渗径长度为L=10cm的平均水位差h=( h1+ h2) /2=(H1- H3)/2;
(7)开动秒表,用量筒接取经过一段时间Δt的渗流量ΔQ,量测渗透水的水温T°C;
(8)改变调节管的高度,达到渗透稳定后,重复(6)、(7)的步骤,平行进行5~6次试验;
(9)按式(8-4)计算每次量测的水温T°C时的渗透系数kti;
(8-4)
(10)计算渗透系数均值:
(8-8)
(11)按下式折算到20°C时的渗透系数k20:
(8-9)
式中,
,
分别为水温T°C和20°C时水的动力粘滞系数。
(二) 变水头试验
1.仪器设备
(1)改进南55型渗透仪,试样高L=4cm,试样横截面积A=30cm2;
(2)辅助设备:切土器、秒表、温度计、削土刀、凡士林等。
2.操作步骤
(1)试样制备 变水头渗透试验的试样分原状试样和扰动试样两种,其制备方法分别为:(a)原状试样:根据要测定的渗透系数的方向,用环刀在垂直或平行土层面方向切取原状试样,试样两端削平即可,禁止用修土刀反复涂抹。放入饱和器内抽气饱和(或其他方法饱和);(b)扰动试样:当干密度较大(
)时,用饱和度较低(St≤80%)土压实或击实办法制样;当干密度较低时,使试样泡于水中饱和后,制成需要干密度的饱和试样。
(2)将盛有试样的环刀套入护筒,装好各部位止水圈。注意试样上下透水石和滤纸,按先后顺序装好,盖上顶盖,拧紧顶部螺丝,不得漏水漏气。
(3)把装好试样的渗透仪进水口与水头装置(测压管)相连。注意及时向测压管中补充水源,补水时,关闭进水口。
(4)在向试样渗透前,先由底部排气嘴出水,排除底部空气至气嘴无气泡时,关闭排气嘴,水自下向上渗流,由顶部出水管排水。
(5)待出水管有水流出后,开始测定试验数据。记录时间t=t1时,上下游水位差h1;时间t=t2时,上下游水位差h2。改变测压管中水位(由进水管补充水),进行5~6次平行试验。记录测压管内径a,量测渗透水温T℃。
(6)由测压管内径a、试样截面积A、试样高度L、每次试验记录的(t1i,h1i)、(t2i,h2i)带入公式(8-7),
(8-7)
计算出水温T℃时渗透系数kti。由kti代入公式(8-8),计算平均渗透系数kt。由kt代入公式(8-9),计算出20℃时的渗透系数k20。
四、 试验数据记录与处理
表一 渗透试验(常水头法)
试样高度:40 cm 干土质量: 测压管间距:10cm
试样面积:70 cm 土粒比重: 试样孔隙比:
表二 渗透试验(变水头法)
(第一组)
测压管内截面积a=0.308cm2 试样高度L=4cm 试样截面积A=30cm2
(第二组)
测压管内截面积a=0.308cm2 试样高度L=4cm 试样截面积A=30cm2
对于变水头试验,我们采用了测两管水流,每管测4次的方法,最终得到两组试验数据,见上表二。由表中数据可以看出,随着时间的推移,实测的渗透系数减小了(即由第一组的5.35×10-5 cm/s减小为5.21×10-5cm/s),这种现象与理论是一致的。
五、 注意事项
(1) 变水头试验中,每次测得的水头h1和h2的差值应大于10cm;
(2) 变水头试验过程中,若发现水流过快或出水口有混浊现象,应立即检查有无漏水或试样中是否出现集中渗流,若有,应重新制样试验;
(3) 渗透试验一定要用无气水作试验,否则,试验过程中水中的气泡会在试样内集中,使测得的渗透系数随渗透时间的延长不断减小,产生不允许的试验误差;
(4) 试验过程中,由于渗透力的作用,使土的干密度发生变化,从而使渗透系数发生变化,因此,渗透试验的时间不能太长,水头差不能太大;
(5) 规范规定采用水温20°C或10°C时的渗透系数作为标准渗透系数。
六、 思考题
1. 为什么细粒土不能用量测渗出水量的装置测量渗流量?
答:(1) 由于细粒土渗透系数很小,导致流量很小,耗费时间较长;
(2) 流量较小导致流经试样的水量很少,难以直接准确量测,误差较大。
综上所述,测量细粒土的渗透系数时,应采用变水头法。
2. 为什么渗透试验中,土的渗透系数是随时间变化的?
答:(1) 试验过程中,由于渗流力的作用,使土试样越来越密实,导致土的干密度发生变化,从而使渗透系数随时间发生变化;
(2) 试验装置内有气泡,在试验过程中水中的气泡会在试样内集中,使侧得的渗透系数随渗透时间随时间发生变化,产生误差。
由上述两点原因,我们还可以判断出,渗透系数是随着时间逐渐减小的。所以,在进行试验时,应保证渗透试验时间不能太长;水头差不能太大;将水中气泡排尽。
3. 为什么要将渗透系数换算成20℃时的标准渗透系数?
答:渗透系数与水的粘滞性有关系,粘滞性大的渗透系数小于粘滞性小的流体。而水的粘滞性随温度的变化而变化,温度越高水的粘滞性就越小,水流就越容易,渗透系数就会变大。因此,当其他条件相同时,水的温度不同也将导致土样渗透系数的不同,为了使不同的土体的渗透系数具有正确的可比性,就要在一个规定的温度下进行,所以,要将渗透系数换算成20℃时的标准渗透系数。