發(fā)布時間：2018-01-17 00:22

  本文關(guān)鍵詞：基于Selenium的安全自動測試技術(shù)的研究與實現(xiàn)　出處：《廣東工業(yè)大學》2015年碩士論文　論文類型：學位論文

  更多相關(guān)文章： Selenium 測試自動化 網(wǎng)絡爬蟲 Web安全 安全測試

【摘要】：伴隨著科學技術(shù)高速發(fā)展,互聯(lián)網(wǎng)也迎來了一個最美好的時代。人們利用互聯(lián)網(wǎng)從原來的單純?yōu)g覽信息到現(xiàn)在辦理各項其他事情,越來越多的事務從線下轉(zhuǎn)移到線上,無論是買車票、繳納水電費或是購置其他商品,都可以在網(wǎng)上進行,互聯(lián)網(wǎng)已經(jīng)成為民眾生活不可或缺的一部分,Web應用因此得到了一個爆發(fā)性的增長。然而Web應用之中存在的漏洞越來越多樣化,使得安全測試工作難以支撐Web應用的發(fā)展。傳統(tǒng)的安全測試是采用手工模擬攻擊者的手段對Web安全進行滲透測試,而手工測試缺缺乏效率,而且人為產(chǎn)生的錯誤因素也經(jīng)常會影響測試結(jié)果,不能確保測試結(jié)果的準確性。目前商用的自動化測試工具價格不菲,對于廣大中小企業(yè)來說使用商用的自動化測試工具并不具有可操作性。本文分析與研究了基于Selenium的安全自動測試技術(shù),Selenium是一個開源的工具,采用Selenium進行開發(fā)可以有效地降低測試成本。本文利用Selenium對當前主流的漏洞設計并實現(xiàn)了漏洞掃描功能,并發(fā)揮了Selenium的可拓展性的特點,從而設計出一款可用性高,具有良好性能的安全測試工具。它能夠?qū)eb應用進行自動化的安全測試,不僅可以在Web應用上線前進行安全測試,還能夠在上線后進行測試,從而可以提前做好相應對策,減少損失。本文主要工作如下：1.分析當前Web應用的安全態(tài)勢,對國內(nèi)國外自動化測試的研究現(xiàn)狀做了介紹,詳細分析了當前Web應用所受到的安全威脅,并舉出數(shù)據(jù)說明危害,說明開發(fā)一款能夠進行自動化進行安全測試的系統(tǒng)的重要性。2.對Web應用當前存在的不同類型漏洞的特性進行分析,重點分析了SQL注入漏洞和XSS跨站漏洞的產(chǎn)生原因、檢測方式以及防御方法等,并介紹了一些現(xiàn)階段比較流行的自動化測試工具,包括本文使用的Selenium自動化測試工具。3.針對獲取Web應用存在的漏洞信息,對HTTP協(xié)議、URL獲取、網(wǎng)頁內(nèi)容獲取、網(wǎng)頁中表單的提取等等進行了相關(guān)研究,設計了能夠?qū)δ繕司W(wǎng)站進行爬取并過濾構(gòu)建URL的網(wǎng)絡爬蟲模塊。4.在獲取了網(wǎng)頁信息之后,利用selenium測試目標的交互、可拓展性的特點,設計了SQL注入漏洞和XSS跨站漏洞的漏洞掃描模塊,通過自動化的測試能夠生成詳細的測試報告。最后,通過搭建實驗環(huán)境,對系統(tǒng)進行了功能測試和性能測試,驗證了系統(tǒng)的可用性和可靠性。
[Abstract]:With the rapid development of science and technology, the Internet has also ushered in the most beautiful era. More and more business from offline to online, whether it is to buy tickets, pay utilities or other goods, can be carried out online, the Internet has become an indispensable part of people's lives. Web applications have thus achieved an explosive growth. However, the vulnerabilities in Web applications are becoming more and more diverse. It is difficult for security testing to support the development of Web application. The traditional security test uses manual simulation of attackers to conduct penetration testing of Web security, but manual testing is inefficient. And man-made error factors often affect the test results, can not ensure the accuracy of test results. At present, commercial automated testing tools are expensive. For the majority of small and medium-sized enterprises, the use of commercial automated testing tools is not operable. This paper analyzes and studies the security automatic testing technology based on Selenium. Selenium is an open source tool. Using Selenium to develop can effectively reduce the cost of testing. This paper uses Selenium to design and realize the vulnerability scanning function of the current mainstream vulnerabilities. The extensibility of Selenium is brought into play, and a security testing tool with high availability and good performance is designed. It can automate the security test of Web application. It can not only test the security before the Web application goes on line, but also test after going online, so that the corresponding countermeasures can be made in advance. The main work of this paper is as follows: 1. Analyze the security situation of current Web application and introduce the research status of automation test at home and abroad. The security threats to the current Web application are analyzed in detail, and the data are given to illustrate the harm. Explain the importance of developing a system that can automate security testing. 2. Analyze the characteristics of different types of vulnerabilities in Web applications. This paper mainly analyzes the cause of SQL injection vulnerability and XSS cross-site vulnerability, and introduces some popular automated testing tools at the present stage. Including the Selenium automated testing tool used in this paper. 3. In order to obtain the vulnerability information of the Web application, the HTTP protocol and the content of the web page are obtained. The extraction of forms from web pages and other related research, designed to crawl the target website and filter the construction of URL web crawler module. 4. After obtaining the page information. Taking advantage of the interaction and expansibility of selenium test target, the vulnerability scanning module of SQL injection vulnerability and XSS cross-site vulnerability is designed. In the end, the function test and performance test of the system are carried out to verify the availability and reliability of the system.
【學位授予單位】：廣東工業(yè)大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 ;解析安全測試與滲透測試的區(qū)別[J];計算機與網(wǎng)絡;2012年17期

2 湯文亮,丁振凡,湯飛;防火墻安全測試系統(tǒng)的研究與實現(xiàn)[J];華東交通大學學報;2002年03期

3 劉洋;;在線自學自測系統(tǒng)的安全測試與分析[J];網(wǎng)絡安全技術(shù)與應用;2006年05期

4 陳威;季佳育;王剛;;如何做好信息系統(tǒng)上線前安全測試[J];華北電力技術(shù);2011年12期

5 陳博;;安全測試保障網(wǎng)上銀行安全[J];中國金融電腦;2012年08期

6 唐文;;協(xié)議安全測試在工業(yè)信息安全領域的應用[J];中國儀器儀表;2014年07期

7 王宏;曹文霞;;軟件安全測試新武器——淺談基于Dynamic Taint Propagation的測試技術(shù)[J];程序員;2008年05期

8 李劍;馬國勝;;嵌入式電器安全測試平臺的研究[J];電腦知識與技術(shù);2010年15期

9 寧培一;;手機安全測試中的溫升要求及試驗簡介[J];中國無線電;2010年05期

10 ;金融網(wǎng)絡安全測試方案[J];電信網(wǎng)技術(shù);2014年01期

相關(guān)會議論文 前3條

1 白哥樂;宮云戰(zhàn);楊朝紅;;基于源碼分析的軟件安全測試工具綜述[A];第五屆中國測試學術(shù)會議論文集[C];2008年

2 唐云;鐘力;何金勇;朱敏;;基于流量穿越的防火墻在線安全測試系統(tǒng)[A];全國計算機安全學術(shù)交流會論文集（第二十三卷）[C];2008年

3 方桂彬;漆濤;馬躍;李洋;丁礫;;IMS中基于PROTOS的SIP協(xié)議安全測試方案研究[A];中國通信學會信息通信網(wǎng)絡技術(shù)委員會2009年年會論文集（上冊）[C];2009年

相關(guān)重要報紙文章 前10條

1 榮鈺;更貼近現(xiàn)實的安全測試[N];網(wǎng)絡世界;2009年

2 《網(wǎng)絡世界》記者 蒙克;思博倫新一代安全測試方案 Avalanche NEXT感知應用[N];網(wǎng)絡世界;2013年

3 本報記者 胡英;BreakingPoint推2到7層安全測試設備[N];計算機世界;2009年

4 袁衛(wèi)平　陳志偉;NSS發(fā)布瀏覽器安全測試結(jié)果[N];人民郵電;2014年

5 ;安全測試人員發(fā)現(xiàn)VMware軟件存在嚴重漏洞[N];網(wǎng)絡世界;2008年

6 馬;IPv6完成端到端安全測試[N];中國計算機報;2004年

7 洪金;3C只是空調(diào)市場通行證[N];中國企業(yè)報;2003年

8 董懷午;空調(diào)企業(yè)過了３Ｃ還須穩(wěn)步前行[N];中國房地產(chǎn)報;2003年

9 王昆月;程序漏洞成黑帽大會關(guān)注點[N];計算機世界;2007年

10 著名經(jīng)濟評論人 葉檀;堅決支持中國發(fā)展轉(zhuǎn)基因糧食[N];糧油市場報;2010年

相關(guān)博士學位論文 前1條

1 章志燮;基于構(gòu)造類別代數(shù)的協(xié)議安全測試研究[D];中國科學技術(shù)大學;2009年

相關(guān)碩士學位論文 前8條

1 陳永慈;安全軟件開發(fā)環(huán)境中安全測試工具的設計與實現(xiàn)[D];天津大學;2008年

2 溫永利;無線網(wǎng)絡結(jié)構(gòu)分析與安全測試技術(shù)[D];國防科學技術(shù)大學;2007年

3 鐘鋒華;基于.NET網(wǎng)站的自動化安全測試工具研究與實現(xiàn)[D];中南大學;2007年

4 董文軍;耐壓泄漏安全測試及關(guān)鍵技術(shù)的研究[D];廣東工業(yè)大學;2004年

5 田林林;基于PDA的Windows系統(tǒng)安全測試關(guān)鍵技術(shù)研究與實現(xiàn)[D];國防科學技術(shù)大學;2009年

6 羅明宇;基于Selenium的安全自動測試技術(shù)的研究與實現(xiàn)[D];廣東工業(yè)大學;2015年

7 嚴仍友;嵌入式的電器安全測試平臺研究[D];廣東工業(yè)大學;2005年

8 雷煒;基于FSM模型檢驗的安全測試技術(shù)研究[D];廣東工業(yè)大學;2013年

，

本文編號：1435492