Web應(yīng)用程序跨站腳本漏洞檢測(cè)技術(shù)研究與實(shí)現(xiàn)
發(fā)布時(shí)間:2021-05-11 19:53
近年來(lái),伴隨著Web應(yīng)用技術(shù)飛速的發(fā)展與進(jìn)步,其強(qiáng)大的功能使人們的工作效率得到了極大的提高,受到了越來(lái)越多開(kāi)發(fā)者與用戶(hù)的喜愛(ài),但也隨之引起了各類(lèi)Web安全隱患,使人們的個(gè)人信息和財(cái)產(chǎn)安全受到了嚴(yán)重的威脅。其中,跨站腳本攻擊是眾多Web安全漏洞中最具有影響力和危害性的攻擊手段之一。然而現(xiàn)有的跨站腳本漏洞檢測(cè)技術(shù)還不夠完善,存在著檢測(cè)效率較低,漏報(bào)率、誤報(bào)率較高等問(wèn)題,仍需對(duì)其開(kāi)展進(jìn)一步的研究。本文針對(duì)跨站腳本漏洞的研究現(xiàn)狀、檢測(cè)原理和實(shí)現(xiàn)技術(shù)進(jìn)行了深入的研究與分析,主要完成以下幾方面的工作:首先,對(duì)Web應(yīng)用程序中常見(jiàn)的過(guò)濾機(jī)制以及現(xiàn)有跨站腳本攻擊向量結(jié)構(gòu)進(jìn)行了大量的研究,提出一種自動(dòng)化生成攻擊向量與合法向量的策略以繞過(guò)過(guò)濾模塊。針對(duì)攻擊向量,首先根據(jù)基本符號(hào)集、備選元素庫(kù)以及攻擊向量組合模型生成初始基本攻擊向量,然后通過(guò)變換規(guī)則集對(duì)其進(jìn)行各種變換、轉(zhuǎn)置處理,使最終生成的攻擊向量更加全面、復(fù)雜、有效;針對(duì)合法向量,提出基于表單輸入點(diǎn)相關(guān)信息自動(dòng)生成最佳的合法向量,合法向量與攻擊向量共同組成了攻擊階段中的測(cè)試數(shù)據(jù)。其次,優(yōu)化了爬蟲(chóng)技術(shù),提出基于Headless瀏覽器的網(wǎng)絡(luò)爬蟲(chóng)。針對(duì)傳統(tǒng)靜態(tài)...
【文章來(lái)源】:江南大學(xué)江蘇省 211工程院校 教育部直屬院校
【文章頁(yè)數(shù)】:63 頁(yè)
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
Abstract
第一章 緒論
1.1 研究背景及意義
1.2 國(guó)內(nèi)外研究現(xiàn)狀
1.2.1 當(dāng)前跨站腳本攻擊的防御措施
1.2.2 當(dāng)前跨站腳本漏洞的檢測(cè)方法
1.2.3 存在的問(wèn)題
1.3 主要研究?jī)?nèi)容
1.4 論文組織結(jié)構(gòu)
第二章 跨站腳本相關(guān)知識(shí)
2.1 跨站腳本漏洞簡(jiǎn)介
2.1.1 跨站腳本攻擊原理
2.1.2 跨站腳本漏洞分類(lèi)
2.1.3 新浪微博漏洞實(shí)例
2.2 滲透測(cè)試
2.2.1 白盒測(cè)試
2.2.2 隱秘測(cè)試
2.2.3 黑盒測(cè)試
2.2.4 黑盒測(cè)試檢測(cè)跨站腳本漏洞
2.3 本章小結(jié)
第三章 攻擊向量與合法向量的生成策略
3.1 Web應(yīng)用程序的過(guò)濾機(jī)制
3.2 代碼混淆
3.3 攻擊向量
3.3.1 種子攻擊向量
3.3.2 攻擊向量的組合結(jié)構(gòu)
3.3.3 攻擊向量的分類(lèi)
3.3.4 攻擊向量的生成
3.4 合法向量
3.5 本章小結(jié)
第四章 跨站腳本漏洞檢測(cè)模型的設(shè)計(jì)
4.1 基于Gearman的分布式系統(tǒng)架構(gòu)
4.1.1 Gearman的工作原理與運(yùn)行機(jī)制
4.1.2 系統(tǒng)整體結(jié)構(gòu)
4.1.3 檢測(cè)流程
4.2 漏洞注入點(diǎn)分析
4.2.1 基于Headless瀏覽器的網(wǎng)絡(luò)爬蟲(chóng)
4.2.2 頁(yè)面解析
4.3 攻擊與分析模塊
4.4 二次遍歷模塊
4.5 系統(tǒng)界面設(shè)計(jì)
4.6 本章小結(jié)
第五章 實(shí)驗(yàn)設(shè)計(jì)與結(jié)果分析
5.1 實(shí)驗(yàn)環(huán)境和評(píng)估指標(biāo)
5.1.1 實(shí)驗(yàn)環(huán)境
5.1.2 評(píng)估指標(biāo)
5.2 實(shí)驗(yàn)與分析
5.3 本章小結(jié)
主要結(jié)論與展望
主要結(jié)論
展望
致謝
參考文獻(xiàn)
附錄:作者在攻讀碩士學(xué)位期間發(fā)表的論文
【參考文獻(xiàn)】:
期刊論文
[1]跨站腳本漏洞滲透測(cè)試技術(shù)[J]. 王丹,顧明昌,趙文兵. 哈爾濱工程大學(xué)學(xué)報(bào). 2017(11)
[2]一種基于序列最小優(yōu)化算法的跨站腳本漏洞檢測(cè)技術(shù)[J]. 黃娜娜,萬(wàn)良,鄧烜堃,易輝凡. 信息網(wǎng)絡(luò)安全. 2017(10)
[3]Web應(yīng)用常見(jiàn)注入式安全漏洞檢測(cè)關(guān)鍵技術(shù)綜述[J]. 王丹,趙文兵,丁治明. 北京工業(yè)大學(xué)學(xué)報(bào). 2016(12)
[4]HTML5新特性安全研究綜述[J]. 張玉清,賈巖,雷柯楠,呂少卿,樂(lè)洪舟. 計(jì)算機(jī)研究與發(fā)展. 2016(10)
[5]基于模糊測(cè)試和遺傳算法的XSS漏洞挖掘[J]. 程誠(chéng),周彥暉. 計(jì)算機(jī)科學(xué). 2016(S1)
[6]一種基于優(yōu)先級(jí)的迭代劃分測(cè)試方法[J]. 章曉芳,章宗長(zhǎng),謝曉園,周誼成. 計(jì)算機(jī)學(xué)報(bào). 2016(11)
[7]一種跨站腳本的檢測(cè)方法[J]. 余學(xué)永,江國(guó)華. 小型微型計(jì)算機(jī)系統(tǒng). 2015(08)
[8]Flash跨站腳本漏洞挖掘技術(shù)研究[J]. 劉奇旭,溫濤,聞?dòng)^行. 計(jì)算機(jī)研究與發(fā)展. 2014(07)
[9]基于特征策略的XSS漏洞檢測(cè)技術(shù)研究[J]. 王春東,邱曉華. 天津理工大學(xué)學(xué)報(bào). 2013(05)
[10]網(wǎng)絡(luò)安全滲透測(cè)試研究[J]. 常艷,王冠. 信息網(wǎng)絡(luò)安全. 2012(11)
碩士論文
[1]基于HTML5的跨站腳本攻擊檢測(cè)技術(shù)研究與實(shí)現(xiàn)[D]. 吳柳.北京郵電大學(xué) 2017
[2]基于動(dòng)態(tài)分析的XSS漏洞檢測(cè)方法研究[D]. 李佩佩.華中科技大學(xué) 2016
[3]基于網(wǎng)絡(luò)爬蟲(chóng)的XSS漏洞檢測(cè)系統(tǒng)的研究與設(shè)計(jì)[D]. 牛皓.北京郵電大學(xué) 2015
[4]基于網(wǎng)絡(luò)爬蟲(chóng)的網(wǎng)絡(luò)漏洞掃描檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 肖征.吉林大學(xué) 2014
[5]基于Gearman/MongoDB的非金融交易監(jiān)控報(bào)警系統(tǒng)的研究和實(shí)現(xiàn)[D]. 宋益泉.電子科技大學(xué) 2013
[6]基于滲透測(cè)試的跨站腳本漏洞檢測(cè)研究[D]. 邵鵬.鄭州大學(xué) 2013
[7]基于網(wǎng)絡(luò)爬蟲(chóng)的跨站腳本漏洞動(dòng)態(tài)檢測(cè)技術(shù)研究[D]. 趙艷.西南交通大學(xué) 2011
本文編號(hào):3182009
【文章來(lái)源】:江南大學(xué)江蘇省 211工程院校 教育部直屬院校
【文章頁(yè)數(shù)】:63 頁(yè)
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
Abstract
第一章 緒論
1.1 研究背景及意義
1.2 國(guó)內(nèi)外研究現(xiàn)狀
1.2.1 當(dāng)前跨站腳本攻擊的防御措施
1.2.2 當(dāng)前跨站腳本漏洞的檢測(cè)方法
1.2.3 存在的問(wèn)題
1.3 主要研究?jī)?nèi)容
1.4 論文組織結(jié)構(gòu)
第二章 跨站腳本相關(guān)知識(shí)
2.1 跨站腳本漏洞簡(jiǎn)介
2.1.1 跨站腳本攻擊原理
2.1.2 跨站腳本漏洞分類(lèi)
2.1.3 新浪微博漏洞實(shí)例
2.2 滲透測(cè)試
2.2.1 白盒測(cè)試
2.2.2 隱秘測(cè)試
2.2.3 黑盒測(cè)試
2.2.4 黑盒測(cè)試檢測(cè)跨站腳本漏洞
2.3 本章小結(jié)
第三章 攻擊向量與合法向量的生成策略
3.1 Web應(yīng)用程序的過(guò)濾機(jī)制
3.2 代碼混淆
3.3 攻擊向量
3.3.1 種子攻擊向量
3.3.2 攻擊向量的組合結(jié)構(gòu)
3.3.3 攻擊向量的分類(lèi)
3.3.4 攻擊向量的生成
3.4 合法向量
3.5 本章小結(jié)
第四章 跨站腳本漏洞檢測(cè)模型的設(shè)計(jì)
4.1 基于Gearman的分布式系統(tǒng)架構(gòu)
4.1.1 Gearman的工作原理與運(yùn)行機(jī)制
4.1.2 系統(tǒng)整體結(jié)構(gòu)
4.1.3 檢測(cè)流程
4.2 漏洞注入點(diǎn)分析
4.2.1 基于Headless瀏覽器的網(wǎng)絡(luò)爬蟲(chóng)
4.2.2 頁(yè)面解析
4.3 攻擊與分析模塊
4.4 二次遍歷模塊
4.5 系統(tǒng)界面設(shè)計(jì)
4.6 本章小結(jié)
第五章 實(shí)驗(yàn)設(shè)計(jì)與結(jié)果分析
5.1 實(shí)驗(yàn)環(huán)境和評(píng)估指標(biāo)
5.1.1 實(shí)驗(yàn)環(huán)境
5.1.2 評(píng)估指標(biāo)
5.2 實(shí)驗(yàn)與分析
5.3 本章小結(jié)
主要結(jié)論與展望
主要結(jié)論
展望
致謝
參考文獻(xiàn)
附錄:作者在攻讀碩士學(xué)位期間發(fā)表的論文
【參考文獻(xiàn)】:
期刊論文
[1]跨站腳本漏洞滲透測(cè)試技術(shù)[J]. 王丹,顧明昌,趙文兵. 哈爾濱工程大學(xué)學(xué)報(bào). 2017(11)
[2]一種基于序列最小優(yōu)化算法的跨站腳本漏洞檢測(cè)技術(shù)[J]. 黃娜娜,萬(wàn)良,鄧烜堃,易輝凡. 信息網(wǎng)絡(luò)安全. 2017(10)
[3]Web應(yīng)用常見(jiàn)注入式安全漏洞檢測(cè)關(guān)鍵技術(shù)綜述[J]. 王丹,趙文兵,丁治明. 北京工業(yè)大學(xué)學(xué)報(bào). 2016(12)
[4]HTML5新特性安全研究綜述[J]. 張玉清,賈巖,雷柯楠,呂少卿,樂(lè)洪舟. 計(jì)算機(jī)研究與發(fā)展. 2016(10)
[5]基于模糊測(cè)試和遺傳算法的XSS漏洞挖掘[J]. 程誠(chéng),周彥暉. 計(jì)算機(jī)科學(xué). 2016(S1)
[6]一種基于優(yōu)先級(jí)的迭代劃分測(cè)試方法[J]. 章曉芳,章宗長(zhǎng),謝曉園,周誼成. 計(jì)算機(jī)學(xué)報(bào). 2016(11)
[7]一種跨站腳本的檢測(cè)方法[J]. 余學(xué)永,江國(guó)華. 小型微型計(jì)算機(jī)系統(tǒng). 2015(08)
[8]Flash跨站腳本漏洞挖掘技術(shù)研究[J]. 劉奇旭,溫濤,聞?dòng)^行. 計(jì)算機(jī)研究與發(fā)展. 2014(07)
[9]基于特征策略的XSS漏洞檢測(cè)技術(shù)研究[J]. 王春東,邱曉華. 天津理工大學(xué)學(xué)報(bào). 2013(05)
[10]網(wǎng)絡(luò)安全滲透測(cè)試研究[J]. 常艷,王冠. 信息網(wǎng)絡(luò)安全. 2012(11)
碩士論文
[1]基于HTML5的跨站腳本攻擊檢測(cè)技術(shù)研究與實(shí)現(xiàn)[D]. 吳柳.北京郵電大學(xué) 2017
[2]基于動(dòng)態(tài)分析的XSS漏洞檢測(cè)方法研究[D]. 李佩佩.華中科技大學(xué) 2016
[3]基于網(wǎng)絡(luò)爬蟲(chóng)的XSS漏洞檢測(cè)系統(tǒng)的研究與設(shè)計(jì)[D]. 牛皓.北京郵電大學(xué) 2015
[4]基于網(wǎng)絡(luò)爬蟲(chóng)的網(wǎng)絡(luò)漏洞掃描檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 肖征.吉林大學(xué) 2014
[5]基于Gearman/MongoDB的非金融交易監(jiān)控報(bào)警系統(tǒng)的研究和實(shí)現(xiàn)[D]. 宋益泉.電子科技大學(xué) 2013
[6]基于滲透測(cè)試的跨站腳本漏洞檢測(cè)研究[D]. 邵鵬.鄭州大學(xué) 2013
[7]基于網(wǎng)絡(luò)爬蟲(chóng)的跨站腳本漏洞動(dòng)態(tài)檢測(cè)技術(shù)研究[D]. 趙艷.西南交通大學(xué) 2011
本文編號(hào):3182009
本文鏈接:http://sikaile.net/guanlilunwen/ydhl/3182009.html
最近更新
教材專(zhuān)著
