Web應(yīng)用安全漏洞自動(dòng)檢測(cè)工具包括兩個(gè)部分：（1）跨站腳本漏洞檢測(cè)工具XSSBuster；（2）SQL注入漏洞檢測(cè)工具SQLIExposer。其中涉及的關(guān)鍵技術(shù)包括：網(wǎng)絡(luò)爬蟲與Web應(yīng)用程序的動(dòng)態(tài)交互、數(shù)據(jù)入口的確定和模擬攻擊、注入代碼的構(gòu)造以及注入結(jié)果的分析、滲透測(cè)試技術(shù)的優(yōu)化、利用Fuzzing技術(shù)構(gòu)造針對(duì)不同數(shù)據(jù)入口的多種注入代碼及其變體、強(qiáng)制注入代碼的執(zhí)行。

本工具能全面、自動(dòng)檢測(cè)Web應(yīng)用程序中的SQL注入漏洞和三種類型的跨站腳本漏洞。測(cè)試結(jié)果表明：與目前主流的漏洞檢測(cè)系統(tǒng)相比，本工具能檢測(cè)出更多的漏洞，在性能方面也具有一定的優(yōu)越性。