本文關(guān)鍵詞：基于模糊測(cè)試的Web應(yīng)用漏洞發(fā)掘技術(shù)研究與實(shí)現(xiàn)

  更多相關(guān)文章： Web應(yīng)用漏洞 漏洞發(fā)掘 測(cè)試用例 模糊測(cè)試 模板組合

【摘要】：隨著互聯(lián)網(wǎng)技術(shù)迅猛發(fā)展,Web應(yīng)用作為各大互聯(lián)網(wǎng)業(yè)務(wù)的重要組成部分為用戶提供直觀便捷的服務(wù)。用戶通過(guò)Web應(yīng)用享受著互聯(lián)網(wǎng)時(shí)代帶來(lái)的高效與快捷。然而,由于Web應(yīng)用開(kāi)發(fā)時(shí)間受限、開(kāi)發(fā)人員水平參差不齊等原因致使Web應(yīng)用存在大量已知和未知的漏洞,這些漏洞危害極大,威脅網(wǎng)絡(luò)的安全。Web應(yīng)用漏洞發(fā)掘與防護(hù)自然成了學(xué)術(shù)界與工業(yè)界共同關(guān)注的焦點(diǎn)。為了豐富Web應(yīng)用漏洞發(fā)掘所需的測(cè)試數(shù)據(jù)集,本文提出一種新的模糊測(cè)試用例生成方法,彌補(bǔ)了現(xiàn)有Web應(yīng)用漏洞測(cè)試技術(shù)及工具采用固定測(cè)試用例、無(wú)法動(dòng)態(tài)生成與擴(kuò)展的問(wèn)題。提出一種基于模板的動(dòng)態(tài)組合生成測(cè)試用例的方法,對(duì)典型測(cè)試用例進(jìn)行歸類,生成不同的模板庫(kù),再通過(guò)模板庫(kù)規(guī)則和隨機(jī)變化動(dòng)態(tài)生成大量測(cè)試用例,從而極大豐富測(cè)試用例的變化,提高了Web應(yīng)用漏洞檢測(cè)率,使Web應(yīng)用模糊測(cè)試成為可能。實(shí)驗(yàn)結(jié)果表明,使用該方法較生成測(cè)試用例的漏洞測(cè)試工具較同類工具發(fā)現(xiàn)了更多Web應(yīng)用漏洞。實(shí)驗(yàn)證明本方法有效可行。針對(duì)SQL注入(SQLI)與跨站腳本(XSS)兩大漏洞,本文對(duì)Web應(yīng)用漏洞發(fā)掘系統(tǒng)進(jìn)行設(shè)計(jì)和實(shí)現(xiàn),改善了現(xiàn)有Web應(yīng)用漏洞發(fā)掘系統(tǒng)中不合理的模塊與結(jié)構(gòu)。本文設(shè)計(jì)的測(cè)試工具對(duì)現(xiàn)實(shí)Web應(yīng)用進(jìn)行了全面測(cè)試,發(fā)現(xiàn)了現(xiàn)實(shí)Web應(yīng)用中的諸多漏洞。
【關(guān)鍵詞】：Web應(yīng)用漏洞 漏洞發(fā)掘 測(cè)試用例 模糊測(cè)試 模板組合
【學(xué)位授予單位】：北京理工大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08
【目錄】：

• 摘要5-6
• Abstract6-9
• 第1章 緒論9-13
• 1.1 研究背景和研究目的9-10
• 1.2 研究現(xiàn)狀及相關(guān)工具10-11
• 1.3 論文研究主要內(nèi)容11-12
• 1.4 論文組織結(jié)構(gòu)12-13
• 第2章 Web應(yīng)用漏洞及發(fā)掘技術(shù)13-21
• 2.1 Web應(yīng)用漏洞概述13
• 2.2 Web應(yīng)用漏洞分類13-16
• 2.3 漏洞發(fā)掘技術(shù)16-18
• 2.4 模糊測(cè)試技術(shù)18-20
• 2.5 本章小結(jié)20-21
• 第3章 Web應(yīng)用信息爬取21-28
• 3.1 網(wǎng)絡(luò)爬蟲(chóng)概述21-22
• 3.2 正則表達(dá)式22-23
• 3.2.1 頁(yè)面中鏈接匹配22-23
• 3.2.2 頁(yè)面中可能漏洞點(diǎn)匹配23
• 3.3 網(wǎng)絡(luò)爬蟲(chóng)爬行策略23-26
• 3.3.1 爬行策略選擇24
• 3.3.2 爬行策略實(shí)現(xiàn)24-26
• 3.4 網(wǎng)絡(luò)爬蟲(chóng)身份驗(yàn)證26-27
• 3.5 本章小結(jié)27-28
• 第4章 基于模糊測(cè)試的測(cè)試用例生成28-41
• 4.1 方法的提出28-30
• 4.1.1 SQL注入漏洞測(cè)試用例28-29
• 4.1.2 XSS漏洞測(cè)試用例29-30
• 4.1.3 提出測(cè)試用例生成方法30
• 4.2 方法的實(shí)現(xiàn)30-39
• 4.2.1 SQL注入漏洞測(cè)試用例拆分及模板庫(kù)的建立30-33
• 4.2.2 XSS漏洞測(cè)試用例拆分及模板庫(kù)的建立33-37
• 4.2.3 SQL注入漏洞測(cè)試用例模板組合37-38
• 4.2.4 XSS漏洞測(cè)試用例模板組合38-39
• 4.3 測(cè)試用例變異處理39-40
• 4.4 本章小結(jié)40-41
• 第5章 Web應(yīng)用漏洞發(fā)掘系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)41-44
• 5.1 測(cè)試數(shù)據(jù)包發(fā)送與回收41
• 5.2 漏洞自動(dòng)識(shí)別41-42
• 5.3 系統(tǒng)架構(gòu)42-43
• 5.4 本章小結(jié)43-44
• 第6章 實(shí)驗(yàn)評(píng)估44-51
• 6.1 實(shí)驗(yàn)設(shè)置44-47
• 6.2 實(shí)驗(yàn)效果對(duì)比47-49
• 6.3 實(shí)驗(yàn)結(jié)果解釋49
• 6.4 現(xiàn)實(shí)Web應(yīng)用檢測(cè)效果49-50
• 6.5 本章小結(jié)50-51
• 第7章 總結(jié)51-53
• 7.1 結(jié)論51
• 7.2 未來(lái)工作51-53
• 參考文獻(xiàn)53-56
• 攻讀學(xué)位期間發(fā)表論文與研究成果清單56-57
• 致謝57

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 葉碧云,劉青;基于Web技術(shù)的設(shè)備管理信息系統(tǒng)[J];洪都科技;2003年02期

2 何志勇 ,何紹榮;基于WEB的學(xué)生成績(jī)管理系統(tǒng)[J];自貢師范高等�？茖W(xué)校學(xué)報(bào);2003年04期

3 劉慶紅;基于Web的綜合教務(wù)管理信息系統(tǒng)的分析與設(shè)計(jì)[J];吉林省經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào);2004年01期

4 賈志娟,胡明生;基于Web的答疑系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J];河南紡織高等專科學(xué)校學(xué)報(bào);2004年03期

5 王斌,劉浙;基于Web的電力調(diào)度自動(dòng)化系統(tǒng)的實(shí)現(xiàn)[J];計(jì)算機(jī)與現(xiàn)代化;2004年11期

6 尹健康,宋紅文,朱伏平,杜祥兵;基于Web的設(shè)備管理信息系統(tǒng)設(shè)計(jì)與研究[J];西南科技大學(xué)學(xué)報(bào)(自然科學(xué)版);2004年03期

7 盛志偉,劉仕筠,劉雙虎;基于Web的網(wǎng)絡(luò)考試系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)與現(xiàn)代化;2005年07期

8 耿道武;Web服務(wù)提供銀行中間業(yè)務(wù)新形式[J];華南金融電腦;2005年08期

9 石建玲,印建平,葛敬霞,李紅彥;基于Web設(shè)備管理信息系統(tǒng)中設(shè)備分類編碼規(guī)則的研究[J];現(xiàn)代制造工程;2005年09期

10 尤超常;淺談WEB數(shù)據(jù)挖掘[J];中國(guó)科技信息;2005年04期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前10條

1 黃海林;孫向陽(yáng);;基于Web的大學(xué)物理試題管理系統(tǒng)的設(shè)計(jì)[A];湖北省物理學(xué)會(huì)、武漢物理學(xué)會(huì)成立70周年慶典暨2002年學(xué)術(shù)年會(huì)論文集[C];2002年

2 于莉莉;張毅;;基于Web的人力資源管理系統(tǒng)研究與設(shè)計(jì)[A];2008全國(guó)制造業(yè)信息化標(biāo)準(zhǔn)化論壇論文集[C];2008年

3 李中華;;企業(yè)Web應(yīng)用安全威脅與防護(hù)[A];創(chuàng)新·融合·發(fā)展——?jiǎng)?chuàng)新型煤炭企業(yè)發(fā)展與信息化高峰論壇論文集[C];2010年

4 劉兵;何新林;張偉;吳東峰;何小蓮;;基于Web的奎屯河流域水庫(kù)調(diào)度自動(dòng)化系統(tǒng)研究[A];第三屆全國(guó)水力學(xué)與水利信息學(xué)大會(huì)論文集[C];2007年

5 劉穎;;基于Web的學(xué)生信息管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A];2008年計(jì)算機(jī)應(yīng)用技術(shù)交流會(huì)論文集[C];2008年

6 張玉艷;黃國(guó)棟;馮文堂;侯金奎;;一種模型驅(qū)動(dòng)的WEB報(bào)表系統(tǒng)開(kāi)發(fā)方法[A];第二十七屆中國(guó)控制會(huì)議論文集[C];2008年

7 李毅;顧健;顧鐵軍;;系統(tǒng)等級(jí)保護(hù)中的Web應(yīng)用安全評(píng)估[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十四卷）[C];2009年

8 葉良;劉富強(qiáng);鄧戈;趙忠;;基于WEB的數(shù)字視頻監(jiān)控系統(tǒng)開(kāi)發(fā)[A];第十二屆全國(guó)煤礦自動(dòng)化學(xué)術(shù)年會(huì)論文專輯[C];2002年

9 劉巖;閻欽運(yùn);張剛;;基于WEB的企業(yè)人力資源管理系統(tǒng)的研究與實(shí)現(xiàn)[A];第十七屆全國(guó)煤礦自動(dòng)化學(xué)術(shù)年會(huì)、中國(guó)煤炭學(xué)會(huì)自動(dòng)化專業(yè)委員會(huì)學(xué)術(shù)會(huì)議論文集[C];2007年

10 粟智;;基于Web技術(shù)下的分析實(shí)驗(yàn)室計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)的開(kāi)發(fā)與設(shè)計(jì)[A];2003年藥物分析論壇“熱分析在藥物分析中的應(yīng)用”專題學(xué)術(shù)研討會(huì)論文集[C];2003年

中國(guó)重要報(bào)紙全文數(shù)據(jù)庫(kù) 前10條

1 本報(bào)記者 劉繼安;準(zhǔn)備好了嗎？WEB教師[N];中國(guó)教育報(bào);2001年

2 張承東;Web智能考核廣告[N];網(wǎng)絡(luò)世界;2009年

3 科訊;WEB教師——一個(gè)全新職業(yè)的透析[N];科技日?qǐng)?bào);2001年

4 王雅麗;博客社區(qū)齊上陣 銀行借Web 2.0拉攏未來(lái)客戶[N];中國(guó)計(jì)算機(jī)報(bào);2008年

5 本報(bào)記者 黃智軍;Web應(yīng)用呼喚新型安全系統(tǒng)[N];計(jì)算機(jī)世界;2009年

6 居易;WEB教師熱門(mén)起來(lái)[N];組織人事報(bào);2001年

7 本報(bào)記者 趙曉濤;四問(wèn)“Web防御與云安全”[N];網(wǎng)絡(luò)世界;2008年

8 本報(bào)記者 徐恒;手機(jī)瀏覽器：競(jìng)爭(zhēng)不斷加劇 Web大勢(shì)所趨[N];中國(guó)電子報(bào);2009年

9 電腦商報(bào)記者 張戈;Web應(yīng)用安全正當(dāng)時(shí)[N];電腦商報(bào);2010年

10 李晨;Web應(yīng)用安全應(yīng)貫穿生命周期[N];人民郵電;2009年

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 孫慧峰;基于協(xié)同過(guò)濾的個(gè)性化Web推薦[D];北京郵電大學(xué);2012年

2 何儒漢;Web圖像的多模融合檢索研究[D];華中科技大學(xué);2007年

3 張建武;面向Web應(yīng)用的安全評(píng)測(cè)技術(shù)研究[D];北京郵電大學(xué);2012年

4 龍慧云;基于進(jìn)程代數(shù)的Web服務(wù)數(shù)據(jù)和組合的形式化方法研究[D];貴州大學(xué);2009年

5 孫濤;面向市場(chǎng)情報(bào)分析的Web實(shí)體事件融合問(wèn)題研究[D];山東大學(xué);2014年

6 謝琪;基于協(xié)同過(guò)濾與QoS的個(gè)性化Web服務(wù)推薦研究[D];重慶大學(xué);2012年

7 劉方方;Web服務(wù)合成與可用性的若干關(guān)鍵技術(shù)研究[D];復(fù)旦大學(xué);2007年

8 劉曉光;網(wǎng)絡(luò)化制造中Web服務(wù)自動(dòng)組合的若干關(guān)鍵技術(shù)研究[D];上海交通大學(xué);2008年

9 劉國(guó)奇;面向領(lǐng)域QoS約束的Web服務(wù)選取方法[D];東北大學(xué);2011年

10 李杰;基于服務(wù)質(zhì)量的Web服務(wù)模型及應(yīng)用研究[D];中國(guó)科學(xué)院研究生院（計(jì)算技術(shù)研究所）;2005年

，

本文編號(hào)：1008695