Web應(yīng)用在當(dāng)今社會的各個(gè)領(lǐng)域被廣泛使用,雖然它為人們的生活帶來了巨大的便利,但同時(shí)也帶來了許多安全隱患。SQL注入漏洞一直以來都是威脅web應(yīng)用安全的主要問題之一,其中的二階SQL注入漏洞相較于一階SQL注入更加隱蔽而且威脅更大,對其檢測通常依賴于測試人員的先驗(yàn)知識與經(jīng)驗(yàn)。目前針對二階SQL注入漏洞現(xiàn)有檢測方法具有使用環(huán)境受限和檢測效率低下等問題。為了解決這些問題本文提出了基于web應(yīng)用客戶端行為模型的二階SQL注入測試用例集生成方法,主要研究內(nèi)容如下:1、對二階SQL注入漏洞結(jié)構(gòu)和形成原理進(jìn)行了詳細(xì)分析,給出了客戶端行為模型定義,建立了客戶端行為模型與web應(yīng)用測試用例之間的關(guān)系,為后續(xù)研究打下基礎(chǔ)。2、定義了遷移Topo圖,用以描述導(dǎo)致測試用例集觸發(fā)漏洞的遷移應(yīng)滿足的執(zhí)行順序和關(guān)系,并提出了一種基于運(yùn)行時(shí)檢測技術(shù)的Topo圖生成方法。該方法首先生成初始測試用例集并執(zhí)行,以得到遷移與SQL語句之間的映射關(guān)系,然后通過分析SQL語句之間的依賴關(guān)系來生成Topo圖。3、提出了基于Topo圖的測試序列生成算法。為保證測試用例中攻擊向量的多樣性,設(shè)計(jì)了巴科斯范式表示的攻擊向量自動化生成規(guī)則... 

【文章來源】：北京化工大學(xué)北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：79 頁

【學(xué)位級別】：碩士

【部分圖文】：

圖２－２?—階ＳＱＬ注入漏洞與二階ＳＱＬ注入漏洞??Ｆｉｇ．２－２?ｆｉｒｓｔ－ｏｒｄｅｒ?ａｎｄ?ｓｅｃｏｎｄ－ｏｒｄｅｒ?ＳＱＬＩＶ??

?第二章相關(guān)理論與技術(shù)???表示在觸發(fā)事件時(shí)進(jìn)行當(dāng)前的狀態(tài)轉(zhuǎn)移必須要滿足的條件，ａｄ則表示觸發(fā)事件??之后ｗｅｂ應(yīng)用所產(chǎn)生的ＤＯＭ操作等行為。在遷移具有輸入時(shí)，ｅｖｅ？／還可以表不為??ｅｖｅ扣（郵ｗｆ／加），表示當(dāng)前ｅｖｅ？ｆ需要輸入一組變量郵ｗ／ｆｃＺ。??ｗｅｂ應(yīng)用ＣＢＭ模型的建立在文獻(xiàn)［１４］中有詳細(xì)描述，如圖２－３所示，展示了一個(gè)??簡單的ＣＢＭ模型，其中每一個(gè)節(jié)點(diǎn)表示一個(gè)Ｓ中的狀態(tài)，有向邊／／表示ｒ中的一個(gè)??遷移，為了表述方便圖中隱去了６的細(xì)節(jié)。??＾ｔａｒｔ）???圖２－３?ＣＢＭ模型??Ｆｉｇ．２－３?ＣＢＭ?Ｍｏｄｅｌ??２．２．２基于模型的測試用例??在針對ｗｅｂ應(yīng)用的自動化測試領(lǐng)域，測試用例通常是指一系列的用戶操作的集合。??輸入框?ｌ?廠??ｆＮ?．?ｆ?按鈕?４?＇??按鈕１?按鈕２??＾ｒｉｐ？：０ＸＧ］．．．：ｌｉ?Ｉ?＇？ｖ?ｎｔｉｎｖ－ｒ．－ｒ－ｒ：－－－�。�?Ｖ，；ｔ：－ｎｆ??圖２－４?ｗｅｂ應(yīng)用頁面示例??Ｆｉｇ．２－４?ｗｅｂ?ｐａｇｅ?ｅｘａｍｐｌｅ??１７??

?第二章相關(guān)理論與技術(shù)???表示在觸發(fā)事件時(shí)進(jìn)行當(dāng)前的狀態(tài)轉(zhuǎn)移必須要滿足的條件，ａｄ則表示觸發(fā)事件??之后ｗｅｂ應(yīng)用所產(chǎn)生的ＤＯＭ操作等行為。在遷移具有輸入時(shí)，ｅｖｅ？／還可以表不為??ｅｖｅ扣（郵ｗｆ／加），表示當(dāng)前ｅｖｅ？ｆ需要輸入一組變量郵ｗ／ｆｃＺ。??ｗｅｂ應(yīng)用ＣＢＭ模型的建立在文獻(xiàn)［１４］中有詳細(xì)描述，如圖２－３所示，展示了一個(gè)??簡單的ＣＢＭ模型，其中每一個(gè)節(jié)點(diǎn)表示一個(gè)Ｓ中的狀態(tài)，有向邊／／表示ｒ中的一個(gè)??遷移，為了表述方便圖中隱去了６的細(xì)節(jié)。??＾ｔａｒｔ）???圖２－３?ＣＢＭ模型??Ｆｉｇ．２－３?ＣＢＭ?Ｍｏｄｅｌ??２．２．２基于模型的測試用例??在針對ｗｅｂ應(yīng)用的自動化測試領(lǐng)域，測試用例通常是指一系列的用戶操作的集合。??輸入框?ｌ?廠??ｆＮ?．?ｆ?按鈕?４?＇??按鈕１?按鈕２??＾ｒｉｐ？：０ＸＧ］．．．：ｌｉ?Ｉ?＇？ｖ?ｎｔｉｎｖ－ｒ．－ｒ－ｒ：－－－�。�?Ｖ，；ｔ：－ｎｆ??圖２－４?ｗｅｂ應(yīng)用頁面示例??Ｆｉｇ．２－４?ｗｅｂ?ｐａｇｅ?ｅｘａｍｐｌｅ??１７??

【參考文獻(xiàn)】：
期刊論文
[1]Behavior Model Construction for Client Side of Modern Web Applications[J]. Weiwei Wang,Junxia Guo,Zheng Li,Ruilian Zhao.  Tsinghua Science and Technology. 2021(01)

碩士論文
[1]多功能SQL注入檢測系統(tǒng)的實(shí)現(xiàn)及攻擊防范方法研究[D]. 劉合葉.北京交通大學(xué) 2009
[2]基于網(wǎng)絡(luò)爬蟲的SQL注入與XSS漏洞挖掘[D]. 沈壽忠.西安電子科技大學(xué) 2009



本文編號：3405357