本文關(guān)鍵詞：Web漏洞挖掘與安全防護研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著Web技術(shù)的發(fā)展,越來越多的應(yīng)用開始架設(shè)于Web平臺之上,但Web安全形勢卻不容樂觀,早在2014年烏云漏洞平臺就公布了Web網(wǎng)站十大安全風險,其中包括SQL注入、跨站腳本攻擊、未授權(quán)訪問、系統(tǒng)邏輯錯誤帶來的暴力破解等。目前Web站點的安全問題愈發(fā)突出,為了避免Web站點在互聯(lián)網(wǎng)上存在的安全漏洞,為了減輕由于漏洞給Web站點帶來的損失,使得對Web安全的研究有了更大的需求。通過對漏洞的挖掘可以了解Web程序在什么地方容易發(fā)生安全隱患,對容易發(fā)生安全隱患的地方進行深入分析,以便做出針對性的防護措施。本文的主要包含以下內(nèi)容:(1)分析了Web站點容易發(fā)生安全問題的地方,深入分析了文件包含漏洞、注入漏洞、跨站漏洞、文件上傳漏洞,用實例代碼的形式分析產(chǎn)生漏洞的原因,在理解漏洞產(chǎn)生原理的基礎(chǔ)上對Web漏洞進行挖掘,并給出解決建議。(2)從掃描技術(shù)入手,介紹了端口掃描與主機識別技術(shù),并對網(wǎng)絡(luò)爬蟲的原理進行分析,給出一套爬蟲爬行框架,在此基礎(chǔ)了設(shè)計了一款可定制的開源Web掃描工具Auto HackScan,并給出了針對SVN源碼泄漏的掃描插件與Payload編寫,在實際測試過程中取得了良好的效果。(3)考慮到掃描器在漏洞挖掘過程中存在的局限性,轉(zhuǎn)換角度,通過利用代碼審計的方式來挖掘漏洞,介紹了代碼審計的思路、方式,給出了文件包含漏洞、注入漏洞、跨站漏洞代碼審計的實例內(nèi)容,并對在代碼審計中發(fā)現(xiàn)的問題給出解決建議。
【關(guān)鍵詞】：Web安全 漏洞挖掘 漏洞掃描器 代碼審計
【學位授予單位】：中北大學
【學位級別】：碩士
【學位授予年份】：2016
【分類號】：TP393.08
【目錄】：

• 摘要4-5
• Abstract5-10
• 1 緒論10-15
• 1.1 研究背景及意義10-11
• 1.2 課題在國內(nèi)外發(fā)展動態(tài)11-13
• 1.3 研究內(nèi)容13
• 1.4 論文結(jié)構(gòu)13-15
• 2 Web安全分析與漏洞挖掘15-43
• 2.1 Web安全與漏洞簡介15-17
• 2.1.1 Web安全簡介15-16
• 2.1.2 漏洞簡介16-17
• 2.2 文件包含漏洞17-23
• 2.2.1 本地文件包含漏洞分析與挖掘18-21
• 2.2.2 遠程文件包含漏洞分析與挖掘21-23
• 2.3 注入漏洞23-31
• 2.3.1 基于布爾真假的盲注漏洞分析與挖掘26-30
• 2.3.2 基于延時的盲注漏洞分析與挖掘30-31
• 2.4 跨站漏洞31-34
• 2.4.1 反射型XSS漏洞分析與挖掘31-33
• 2.4.2 存儲型XSS漏洞分析與挖掘33-34
• 2.5 文件上傳漏洞34-38
• 2.5.1 IIS 6 解析漏洞分析與挖掘35-36
• 2.5.2 Apache文件解析漏洞分析與挖掘36-38
• 2.6 其他風險38-42
• 2.6.1 越權(quán)38-40
• 2.6.2 撞庫40-41
• 2.6.3 SVN源碼泄漏41-42
• 2.7 小結(jié)42-43
• 3 掃描器設(shè)計43-66
• 3.1 掃描技術(shù)43-47
• 3.1.1 端口掃描43-45
• 3.1.2 操作系統(tǒng)指紋識別45-47
• 3.2 超文本傳輸協(xié)議47-49
• 3.2.1 HTTP請求消息47-48
• 3.2.2 HTTP響應(yīng)消息48-49
• 3.3 掃描器49-51
• 3.3.1 常見掃描器49-50
• 3.3.2 使用掃描器的必要性50-51
• 3.4 掃描器的設(shè)計準備51-58
• 3.4.1 Python語言51
• 3.4.2 掃描器工作原理51-53
• 3.4.3 爬蟲模型53-58
• 3.5 掃描器的實現(xiàn)58-65
• 3.5.1 整體設(shè)計58-59
• 3.5.2 實現(xiàn)細節(jié)59-65
• 3.6 小結(jié)65-66
• 4 代碼審計與安全建議66-86
• 4.1 審計思路66-72
• 4.2 文件包含漏洞審計與防護72-75
• 4.3 注入漏洞審計與防護75-79
• 4.4 跨站漏洞審計與防護79-85
• 4.5 小結(jié)85-86
• 5 總結(jié)與展望86-88
• 5.1 工作總結(jié)86
• 5.2 工作展望86-88
• 參考文獻88-91
• 攻讀碩士學位期間所取得的研究成果91-92
• 致謝92-93

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 趙星;;針對SQL注入的策略研究[J];山西電子技術(shù);2016年02期

2 趙星;;網(wǎng)站暴力破解攻擊及防御措施[J];山西電子技術(shù);2016年01期

3 尚廣明;;Nmap滲透測試指南[J];信息安全與通信保密;2015年11期

4 韋鯤鵬;葛志輝;楊波;;PHP Web應(yīng)用程序上傳漏洞的攻防研究[J];信息網(wǎng)絡(luò)安全;2015年10期

5 雷驚鵬;沙有闖;;利用Kali Linux開展?jié)B透測試[J];長春大學學報;2015年06期

6 ;數(shù)據(jù)安全再爆重磅炸彈12306數(shù)據(jù)泄露事件確認為撞庫攻擊[J];信息安全與通信保密;2015年01期

7 杜海章;方勇;;PHP webshell實時動態(tài)檢測[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2014年12期

8 安曉瑞;;ASP網(wǎng)站中asp一句話木馬的安全性問題及防范措施的研究[J];首都師范大學學報(自然科學版);2014年01期

9 周開東;魏理豪;王甜;鄒洪;崔磊;劉亞瓊;;遠程文件包含漏洞分級檢測工具研究[J];計算機應(yīng)用與軟件;2014年02期

10 陳瑾;;試論端口掃描與檢測技術(shù)[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2013年12期

中國碩士學位論文全文數(shù)據(jù)庫 前7條

1 尹彥濤;Web漏洞掃描系統(tǒng)設(shè)計與實現(xiàn)[D];中國海洋大學;2014年

2 林龍成;PHP Web應(yīng)用程序開發(fā)中漏洞消減技術(shù)研究[D];南京師范大學;2014年

3 劉笑杭;SQL注入漏洞檢測研究[D];杭州電子科技大學;2014年

4 姜洋;滲透測試關(guān)鍵技術(shù)研究[D];西安電子科技大學;2014年

5 邵鵬;基于滲透測試的跨站腳本漏洞檢測研究[D];鄭州大學;2013年

6 符泉麟;基于OWASP的WEB應(yīng)用安全防范技術(shù)的研究[D];上海交通大學;2013年

7 曾楚楓;面向瀏覽器輸入驗證機制的JavaScript脆弱性檢測[D];解放軍信息工程大學;2012年

  本文關(guān)鍵詞：Web漏洞挖掘與安全防護研究，，由筆耕文化傳播整理發(fā)布。

本文編號：326717