【摘要】：如今,隨著Web技術(shù)的高速發(fā)展和互聯(lián)網(wǎng)的大眾化,使得Web應(yīng)用程序已經(jīng)成為黑客攻擊的主要目標(biāo),由Web應(yīng)用程序的安全問題所引發(fā)的財(cái)產(chǎn)損失數(shù)以億計(jì)。因此,設(shè)計(jì)一套漏洞誤報(bào)率和漏報(bào)率低,且檢測準(zhǔn)確率和穩(wěn)定性高的Web漏洞挖掘機(jī)制,并有效掃描出待測Web應(yīng)用程序中的安全漏洞,從而降低Web應(yīng)用系統(tǒng)受到網(wǎng)絡(luò)攻擊的概率,具有十分重要的理論意義和實(shí)用價(jià)值。本文的研究內(nèi)容為模糊測試技術(shù)在Web漏洞挖掘領(lǐng)域中的應(yīng)用,并對(duì)模糊測試技術(shù)當(dāng)前存在的不足之處進(jìn)行了改進(jìn)。在本文的主要研究工作包括以下兩個(gè)方面:(1)本文對(duì)傳統(tǒng)模糊測試技術(shù)中網(wǎng)絡(luò)爬蟲模塊的不足進(jìn)行了分析,針對(duì)爬取覆蓋率低的問題,設(shè)計(jì)了基于頁面狀態(tài)的網(wǎng)絡(luò)爬蟲算法來提升模糊測試技術(shù)中漏洞測試點(diǎn)的有效性。該算法首先對(duì)目標(biāo)Web應(yīng)用程序進(jìn)行建模,通過對(duì)頁面模型進(jìn)行分類和篩選來避免網(wǎng)絡(luò)爬蟲爬取具有相似結(jié)構(gòu)的URL以及表單注入點(diǎn),并防止陷入爬取死循環(huán)。通過嘗試改變目標(biāo)頁面的狀態(tài),網(wǎng)絡(luò)爬蟲可以獲取到相同頁面下更多的漏洞測試點(diǎn)。實(shí)驗(yàn)結(jié)果表明,利用基于頁面狀態(tài)的網(wǎng)絡(luò)爬蟲可以有效提升模糊測試技術(shù)的測試覆蓋率。(2)針對(duì)當(dāng)前模糊測試技術(shù)中測試用例生成步驟所存在的問題,引入了遺傳算法來對(duì)模糊測試技術(shù)進(jìn)行改進(jìn)。本文所實(shí)現(xiàn)的算法首先采用格雷碼對(duì)測試用例個(gè)體進(jìn)行基因編碼,并利用本文所設(shè)計(jì)的適應(yīng)度函數(shù)來對(duì)進(jìn)化結(jié)果進(jìn)行篩選和過濾,通過對(duì)種群個(gè)體進(jìn)行選擇、自適應(yīng)交叉和自適應(yīng)變異,實(shí)現(xiàn)了對(duì)測試用例的優(yōu)化。實(shí)驗(yàn)結(jié)果表明,本文所設(shè)計(jì)的方法能夠提升測試用例種群中個(gè)體的平均適應(yīng)度,并通過提升測試用例的攻擊性來降低漏洞掃描的漏報(bào)率和誤報(bào)率。
【圖文】：

且其中有６８％的中國網(wǎng)民認(rèn)為自身比較或非常依賴互聯(lián)網(wǎng)。在２０１７年全年的網(wǎng)絡(luò)安全逡逑事件中個(gè)人信息泄露問題占比最高，達(dá)到了邋２７．１％。到２０１７年１２月為止，，中國網(wǎng)站逡逑數(shù)量為５３３萬個(gè)，年增長率為１０．６％。中國網(wǎng)站數(shù)量增長狀況調(diào)查結(jié)果如圖１－１所示：逡逑中國網(wǎng)站數(shù)量逡逑萬個(gè)逡逑５３３逡逑４８２逡逑３３５邋Ｈ邋Ｈ逡逑ＩＶ邋■邋ｒ＇．…ｆｆ邐■逡逑Ｌ煖：：逡逑２０１１邐２０１２邐２０１３邐２０１４邐２０１５邐２０１６邐２０１７逡逑來源：ＧＮＳＩＩ［中匪聯(lián)網(wǎng)絡(luò)發(fā)麒~=ｉｉ？查邐２０１７１２逡逑圖１－１中國網(wǎng)站數(shù)量增長狀況調(diào)查結(jié)果逡逑Ｆｉｇ．邋１－１邋Ｓｕｒｖｅｙ邋ｒｅｓｕｌｔｓ邋ｏｆ邋ｔｈｅ邋ｇｒｏｗｔｈ邋ｏｆ邋Ｃｈｉｎｅｓｅ邋ｗｅｂｓｉｔｅｓ逡逑由此可見，Ｗｅｂ應(yīng)用程序已經(jīng)逐漸融入到了人們的日常生活之中，并正在慢慢改變逡逑人們的生活方式。正如之前所介紹的那樣，Ｗｅｂ應(yīng)用程序由于其具有兩面性，因此當(dāng)逡逑Ｗｅｂ應(yīng)用程序在發(fā)揮其正面作用的同時(shí)，其中存在的各種安全漏洞也可能導(dǎo)致Ｗｅｂ應(yīng)逡逑用程序遭受網(wǎng)絡(luò)犯罪分子的攻擊，從而影響經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定［１Ｑ］。逡逑另外，隨著網(wǎng)絡(luò)安全問題的影響力逐漸增大，越來越多的安全廠商也在不斷完善主逡逑機(jī)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全架構(gòu)。目前，絕大多數(shù)組織都會(huì)在自己的網(wǎng)絡(luò)邊界部署硬逡逑件／軟件防火墻、入侵防御系統(tǒng)（ＩＤＳ）和入侵檢測系統(tǒng)（ＩＰＳ）等安全設(shè)備

如果Ｗｅｂ應(yīng)用管理員較少查看Ｉｎｔｅｒｎｅｔ信息服務(wù)（ＩＩＳ）日志，那么即使ＳＱＬ逡逑注入很長一段時(shí)間，管理員都不會(huì)察覺，從而使Ｗｅｂ應(yīng)用在長時(shí)間內(nèi)遭受ＳＱＬ注入攻逡逑擊。ＳＱＬ注入攻擊流程如圖２－６所不：逡逑缺少對(duì)輸入的合逡逑法性判斷逡逑ｐ－構(gòu)詿特殊數(shù)據(jù)庫ａ靡ｉｆ！句—＾邐－動(dòng)態(tài)數(shù)裾庫逡逑７邐ｗｄＴ服務(wù)器邐數(shù)據(jù)庫逡逑攻由＇者邐ｓ邋、邐Ｚ邋★、邐，逡逑￣獲得數(shù)據(jù)庫信息＾邐返回?cái)?shù)據(jù)庫信息￣逡逑、匆／公逡逑＇－＇ｈ邐－入ｇ械壞夕修改數(shù)據(jù)Ｎｙ逡逑后臺(tái)管ａ員邐ｙ逡逑圖２－６邋ＳＱＬ注入攻擊流程逡逑Ｆｉｇ．邋２－６邋ＳＱＬ邋ｉｎｊｅｃｔｉｏｎ邋ａｔｔａｃｋ邋ｆｌｏｗ逡逑２．４．２邋ＳＱＬ注入的危害逡逑ＳＱＬ注入漏洞存在的危害有很多，最直接的一個(gè)危害就是會(huì)導(dǎo)致服務(wù)器的數(shù)據(jù)庫信逡逑息泄露。如果攻擊者成功通過漏洞查詢了數(shù)據(jù)庫，數(shù)據(jù)庫中存放的用戶隱私信息就會(huì)被逡逑泄露，而這些隱私信息很可能成為不法分子對(duì)用戶騷擾、詐騙的依據(jù)。如果黑客可以執(zhí)逡逑行數(shù)據(jù)庫指紋，就可以修改數(shù)據(jù)庫類，從而篡改Ｗｅｂ應(yīng)用程序的網(wǎng)頁內(nèi)容。更嚴(yán)重的，逡逑
【學(xué)位授予單位】：廣西大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 魏浩杰;;WEB課件的開發(fā)及應(yīng)用[J];教育革新;2006年05期

2 馮前進(jìn);羅敏敏;;淺談web設(shè)計(jì)的中文問題[J];南方醫(yī)學(xué)教育;2006年01期

3 周瑞;閻海玲;潘華賢;;面向復(fù)雜網(wǎng)絡(luò)的Web社區(qū)發(fā)現(xiàn)方法研究[J];現(xiàn)代經(jīng)濟(jì)信息;2017年24期

4 席先杰;;基于響應(yīng)式WEB設(shè)計(jì)在線學(xué)習(xí)資源系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J];林區(qū)教學(xué);2017年01期

5 陳衛(wèi)兵;李季;;基于WEB的虛擬物理實(shí)驗(yàn)室建設(shè)探討[J];物理通報(bào);2004年01期

6 陳香;;淺談高職院校Web在線考試系統(tǒng)的應(yīng)用[J];信息系統(tǒng)工程;2016年11期

7 陳濤;;基于Web的質(zhì)量測評(píng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];電子設(shè)計(jì)工程;2016年20期

8 陳俊;劉高川;李罡風(fēng);楊駿;;基于Web的地震前兆應(yīng)用數(shù)據(jù)庫管理系統(tǒng)設(shè)計(jì)[J];四川地震;2016年04期

9 吳思源;;Web數(shù)據(jù)挖掘技術(shù)在電子商務(wù)中的應(yīng)用[J];智能城市;2016年12期

10 崔曙光;;基于Web的發(fā)電機(jī)狀態(tài)監(jiān)控系統(tǒng)的設(shè)計(jì)[J];現(xiàn)代經(jīng)濟(jì)信息;2016年23期

相關(guān)會(huì)議論文 前10條

1 萬志利;單爽;;基于Web服務(wù)的單點(diǎn)登錄研究與實(shí)現(xiàn)[A];全國冶金自動(dòng)化信息網(wǎng)2016年會(huì)論文集[C];2016年

2 劉麗;方蘭;李遠(yuǎn)玲;崔益民;;基于故障矩陣的Web服務(wù)故障診斷框架[A];中國通信學(xué)會(huì)第六屆學(xué)術(shù)年會(huì)論文集（上）[C];2009年

3 唐章蔚;;基于網(wǎng)絡(luò)的Web虛擬實(shí)驗(yàn)室建構(gòu)理論探索[A];計(jì)算機(jī)與教育：應(yīng)用促進(jìn)學(xué)與教創(chuàng)新——全國計(jì)算機(jī)輔助教育學(xué)會(huì)第十三屆學(xué)術(shù)年會(huì)論文集[C];2008年

4 章國英;葉春陽;鄧秋軍;;試論遠(yuǎn)程網(wǎng)絡(luò)教學(xué)及其Web頁面設(shè)計(jì)[A];計(jì)算機(jī)與教育：迎接21世紀(jì)教育信息化的挑戰(zhàn)——全國計(jì)算機(jī)輔助教育學(xué)會(huì)第九屆學(xué)術(shù)年會(huì)[C];1999年

5 楊青;;基于Web的遠(yuǎn)程測試系統(tǒng)的設(shè)計(jì)探討[A];計(jì)算機(jī)與教育——全國計(jì)算機(jī)輔助教育學(xué)會(huì)第十屆學(xué)術(shù)年會(huì)論文集[C];2001年

6 李樹巖;潘學(xué)標(biāo);;人體舒適度“氣候指數(shù)”Web評(píng)價(jià)系統(tǒng)的建立與應(yīng)用[A];第26屆中國氣象學(xué)會(huì)年會(huì)氣候環(huán)境變化與人體健康分會(huì)場論文集[C];2009年

7 王斌;劉大成;;Web性能測試中認(rèn)識(shí)誤區(qū)的分析與研究[A];2008年中國高校通信類院系學(xué)術(shù)研討會(huì)論文集（下冊(cè)）[C];2009年

8 楊弘f

本文編號(hào)：2696643