WAP:一款WEB安全检测工具

Web Application Protection(WAP)是用于源代码静态分析和数据挖掘的一个工具,WAP主要检测使用PHP(4.0版本及以上)编写的web应用程序,并且因为它的误报率很低而受到广泛好评。

WAP可被用来检测并纠正以下漏洞:

SQL注入漏洞
跨站脚本攻击漏洞
远程文件包含漏洞
本地文件包含漏洞
目录及路径遍历漏洞
源代码泄露漏洞
操作系统注入漏洞
PHP代码注入漏洞

该工具可在语义上分析源代码,更确切地说,它利用数据流分析来检测漏洞是否存在,感染分析的目的是监视数据流入口防止恶意代码输入($_GET, $_POST数列等),并且确认它们是否接触到一些敏感接收器——一些PHP函数可被恶意输入所利用。检测之后,WAP工具使用数据挖掘技术来确认检测到的漏洞是真实存在的还是误报,最后,被确认的漏洞将会被补丁修补。

WAP是用java语言编写的,它有三个模块组成:

代码分析仪

该代码分析仪由树建模和感染分析仪组成,这个工具整合了ANTLR提供的开源词法分析器以及语法解析器,它主要利用的是PHP的语法以及PHP的树建模语法。这个树建模发生器使用词法分析器和语法解析仪在每个PHP文件中中构建AST(抽象语法树),这个感染分析仪通过构建的AST来检测可能存在的漏洞。

误报预测仪

误报预测仪是由集中归类的一直处于监督状态的漏洞数据以及误报信息和逻辑回归分类机器(Logistic Regression machine)算法组成,对于检测到的每个有可能的漏洞,此模块负责收集假阳性漏洞的存在数据,之后逻辑回归分类机器(Logistic Regression machine)将接收这些数据并就有无存在误报给它们分类。

代码校正仪

代码校正仪的作用是选择确认的漏洞类型并且修补漏洞。在代码校正仪确认了漏洞类型之后,被确认的漏洞将会在源代码中被删除或者插入补丁文件修复。

随手附上下载地址—>点我!

文章题目:WAP:一款WEB安全检测工具
路径分享:http://www.shufengxianlan.com/qtweb/news21/356071.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联