Web應用在當今社會的各個領域被廣泛使用,雖然它為人們的生活帶來了巨大的便利,但同時也帶來了許多安全隱患。SQL注入漏洞一直以來都是威脅web應用安全的主要問題之一,其中的二階SQL注入漏洞相較于一階SQL注入更加隱蔽而且威脅更大,對其檢測通常依賴于測試人員的先驗知識與經(jīng)驗。目前針對二階SQL注入漏洞現(xiàn)有檢測方法具有使用環(huán)境受限和檢測效率低下等問題。為了解決這些問題本文提出了基于web應用客戶端行為模型的二階SQL注入測試用例集生成方法,主要研究內容如下:1、對二階SQL注入漏洞結構和形成原理進行了詳細分析,給出了客戶端行為模型定義,建立了客戶端行為模型與web應用測試用例之間的關系,為后續(xù)研究打下基礎。2、定義了遷移Topo圖,用以描述導致測試用例集觸發(fā)漏洞的遷移應滿足的執(zhí)行順序和關系,并提出了一種基于運行時檢測技術的Topo圖生成方法。該方法首先生成初始測試用例集并執(zhí)行,以得到遷移與SQL語句之間的映射關系,然后通過分析SQL語句之間的依賴關系來生成Topo圖。3、提出了基于Topo圖的測試序列生成算法。為保證測試用例中攻擊向量的多樣性,設計了巴科斯范式表示的攻擊向量自動化生成規(guī)則... 

【文章來源】：北京化工大學北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：79 頁

【學位級別】：碩士

【部分圖文】：

圖２－２?—階ＳＱＬ注入漏洞與二階ＳＱＬ注入漏洞??Ｆｉｇ．２－２?ｆｉｒｓｔ－ｏｒｄｅｒ?ａｎｄ?ｓｅｃｏｎｄ－ｏｒｄｅｒ?ＳＱＬＩＶ??

?第二章相關理論與技術???表示在觸發(fā)事件時進行當前的狀態(tài)轉移必須要滿足的條件，ａｄ則表示觸發(fā)事件??之后ｗｅｂ應用所產(chǎn)生的ＤＯＭ操作等行為。在遷移具有輸入時，ｅｖｅ？／還可以表不為??ｅｖｅ扣（郵ｗｆ／加），表示當前ｅｖｅ？ｆ需要輸入一組變量郵ｗ／ｆｃＺ。??ｗｅｂ應用ＣＢＭ模型的建立在文獻［１４］中有詳細描述，如圖２－３所示，展示了一個??簡單的ＣＢＭ模型，其中每一個節(jié)點表示一個Ｓ中的狀態(tài)，有向邊／／表示ｒ中的一個??遷移，為了表述方便圖中隱去了６的細節(jié)。??＾ｔａｒｔ）???圖２－３?ＣＢＭ模型??Ｆｉｇ．２－３?ＣＢＭ?Ｍｏｄｅｌ??２．２．２基于模型的測試用例??在針對ｗｅｂ應用的自動化測試領域，測試用例通常是指一系列的用戶操作的集合。??輸入框?ｌ?廠??ｆＮ?．?ｆ?按鈕?４?＇??按鈕１?按鈕２??＾ｒｉｐ？：０ＸＧ］．．．：ｌｉ?Ｉ?＇？ｖ?ｎｔｉｎｖ－ｒ．－ｒ－ｒ：－－－�。�?Ｖ，；ｔ：－ｎｆ??圖２－４?ｗｅｂ應用頁面示例??Ｆｉｇ．２－４?ｗｅｂ?ｐａｇｅ?ｅｘａｍｐｌｅ??１７??

?第二章相關理論與技術???表示在觸發(fā)事件時進行當前的狀態(tài)轉移必須要滿足的條件，ａｄ則表示觸發(fā)事件??之后ｗｅｂ應用所產(chǎn)生的ＤＯＭ操作等行為。在遷移具有輸入時，ｅｖｅ？／還可以表不為??ｅｖｅ扣（郵ｗｆ／加），表示當前ｅｖｅ？ｆ需要輸入一組變量郵ｗ／ｆｃＺ。??ｗｅｂ應用ＣＢＭ模型的建立在文獻［１４］中有詳細描述，如圖２－３所示，展示了一個??簡單的ＣＢＭ模型，其中每一個節(jié)點表示一個Ｓ中的狀態(tài)，有向邊／／表示ｒ中的一個??遷移，為了表述方便圖中隱去了６的細節(jié)。??＾ｔａｒｔ）???圖２－３?ＣＢＭ模型??Ｆｉｇ．２－３?ＣＢＭ?Ｍｏｄｅｌ??２．２．２基于模型的測試用例??在針對ｗｅｂ應用的自動化測試領域，測試用例通常是指一系列的用戶操作的集合。??輸入框?ｌ?廠??ｆＮ?．?ｆ?按鈕?４?＇??按鈕１?按鈕２??＾ｒｉｐ？：０ＸＧ］．．．：ｌｉ?Ｉ?＇？ｖ?ｎｔｉｎｖ－ｒ．－ｒ－ｒ：－－－�。�?Ｖ，；ｔ：－ｎｆ??圖２－４?ｗｅｂ應用頁面示例??Ｆｉｇ．２－４?ｗｅｂ?ｐａｇｅ?ｅｘａｍｐｌｅ??１７??

【參考文獻】：
期刊論文
[1]Behavior Model Construction for Client Side of Modern Web Applications[J]. Weiwei Wang,Junxia Guo,Zheng Li,Ruilian Zhao.  Tsinghua Science and Technology. 2021(01)

碩士論文
[1]多功能SQL注入檢測系統(tǒng)的實現(xiàn)及攻擊防范方法研究[D]. 劉合葉.北京交通大學 2009
[2]基于網(wǎng)絡爬蟲的SQL注入與XSS漏洞挖掘[D]. 沈壽忠.西安電子科技大學 2009



本文編號：3405357