本文關(guān)鍵詞：Web應(yīng)用系統(tǒng)漏洞定位技術(shù)研究與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

【摘要】：SQL注入攻擊和XSS跨站腳本攻擊是Web應(yīng)用系統(tǒng)面臨的最嚴(yán)重的安全問(wèn)題,輕則導(dǎo)致數(shù)據(jù)丟失、數(shù)據(jù)破壞或拒絕服務(wù),重則主機(jī)被完全接管、系統(tǒng)癱瘓,因此對(duì)其檢測(cè)問(wèn)題研究具有重要的現(xiàn)實(shí)意義。模糊測(cè)試是一種基于缺陷注入的自動(dòng)或半自動(dòng)化的漏洞挖掘技術(shù),它通過(guò)向目標(biāo)(如文件格式、網(wǎng)絡(luò)協(xié)議、API等)提供大量半有效的數(shù)據(jù)作為輸入并監(jiān)測(cè)程序是否出現(xiàn)異常,以此發(fā)現(xiàn)Web應(yīng)用系統(tǒng)中潛在的安全漏洞。動(dòng)態(tài)污點(diǎn)分析是一種數(shù)據(jù)流跟蹤技術(shù),通過(guò)標(biāo)記和跟蹤數(shù)據(jù)隨在程序運(yùn)行中的傳播過(guò)程,找出目的數(shù)據(jù)結(jié)果和源數(shù)據(jù)之間的依賴關(guān)系。本文研究常見(jiàn)的Web應(yīng)用系統(tǒng)漏洞檢測(cè)方法,并分析基于黑盒測(cè)試的掃描器和基于白盒測(cè)試的代碼審計(jì)工具特點(diǎn),掃描器檢測(cè)速度快卻不能定位漏洞產(chǎn)生的具體代碼,代碼審計(jì)工具能定位產(chǎn)生漏洞代碼卻因要分析所有的源代碼而耗費(fèi)大量時(shí)間,進(jìn)而提出一種基于模糊測(cè)試和動(dòng)態(tài)污點(diǎn)分析技術(shù)的Web應(yīng)用系統(tǒng)漏洞定位方法,設(shè)計(jì)系統(tǒng)原型并進(jìn)行實(shí)驗(yàn)驗(yàn)證和測(cè)試。本文的主要工作如下：(1)分析SQL注入漏洞及XSS漏洞的產(chǎn)生原因、分類、危害、預(yù)防及檢測(cè)方式。歸納分析SQL注入及XSS跨站腳本的攻擊方式,設(shè)計(jì)攻擊向量庫(kù)。(2)提出一種基于模糊測(cè)試和動(dòng)態(tài)污點(diǎn)分析技術(shù)的Web應(yīng)用系統(tǒng)漏洞定位方法。該方法在模糊測(cè)試階段快速得到存在SQL注入及XSS漏洞的注入點(diǎn),動(dòng)態(tài)污點(diǎn)分析階段通過(guò)跟蹤這些注入點(diǎn)的數(shù)據(jù)在程序中的傳播過(guò)程,得到SQL注入及XSS漏洞在程序中從注入點(diǎn)到陷入點(diǎn)的全過(guò)程,完成對(duì)漏洞的定位。(3)研究動(dòng)念污點(diǎn)分析的原理及過(guò)程,并將其用于SQL注入及XSS漏洞的定位。在源代碼級(jí)別實(shí)現(xiàn)動(dòng)態(tài)污點(diǎn)數(shù)據(jù)的標(biāo)記、跟蹤及檢測(cè),設(shè)計(jì)基于高級(jí)語(yǔ)言的污點(diǎn)傳播規(guī)則。(4)針對(duì)提出的基于模糊測(cè)試和動(dòng)態(tài)污點(diǎn)分析的漏洞定位方法,設(shè)計(jì)檢測(cè)定位SQL注入漏洞和XSS跨站腳本漏洞的系統(tǒng)框架WebPOS,并實(shí)現(xiàn)漏洞定位系統(tǒng)原型。本文的創(chuàng)新點(diǎn)主要體現(xiàn)在以下幾個(gè)方面：(1)提出了一種基于模糊測(cè)試和動(dòng)態(tài)污點(diǎn)分析技術(shù)的Web應(yīng)用系統(tǒng)的漏洞定位方法,實(shí)驗(yàn)證明有較低的誤報(bào)率和較小的時(shí)間開(kāi)銷。(2)實(shí)現(xiàn)基于源代碼級(jí)別的動(dòng)態(tài)污點(diǎn)分析,設(shè)計(jì)了基于高級(jí)語(yǔ)言的污點(diǎn)傳播規(guī)則并給出了實(shí)現(xiàn)算法,運(yùn)行時(shí)開(kāi)銷小,速度快。(3)運(yùn)用Java編程技術(shù),設(shè)計(jì)并實(shí)現(xiàn)了用于檢測(cè)定位SQL注入漏洞和XSS跨站腳本漏洞的系統(tǒng)原型WebPOS。
【關(guān)鍵詞】：SQL注入 XSS跨站腳本 模糊測(cè)試 動(dòng)態(tài)污點(diǎn)分析 漏洞定位
【學(xué)位授予單位】：廣東工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08
【目錄】：

• 摘要4-6
• ABSTRACT6-8
• 目錄8-11
• CONTENTS11-14
• 第一章 緒論14-20
• 1.1 研究背景和意義14-15
• 1.2 國(guó)內(nèi)外研究現(xiàn)狀15-17
• 1.3 Web應(yīng)用系統(tǒng)介紹17-18
• 1.4 論文的研究?jī)?nèi)容18
• 1.5 論文的結(jié)構(gòu)18-20
• 第二章 Web應(yīng)用系統(tǒng)安全相關(guān)技術(shù)分析20-39
• 2.1 Web應(yīng)用漏洞概述20-21
• 2.1.1 Web應(yīng)用系統(tǒng)漏洞概念20
• 2.1.2 Web應(yīng)用系統(tǒng)漏洞產(chǎn)生原因20
• 2.1.3 Web應(yīng)用安全漏洞分類20-21
• 2.2 Web應(yīng)用漏洞檢測(cè)工具介紹21-24
• 2.2.1 掃描工具21-22
• 2.2.2 代碼審計(jì)工具22-24
• 2.3 模糊測(cè)試24-27
• 2.3.1 模糊測(cè)試定義24
• 2.3.2 模糊測(cè)試過(guò)程24-25
• 2.3.3 模糊測(cè)試方法25-26
• 2.3.4 模糊測(cè)試對(duì)象26-27
• 2.4 動(dòng)態(tài)污點(diǎn)分析技術(shù)27-31
• 2.4.1 動(dòng)態(tài)污點(diǎn)分析過(guò)程27-28
• 2.4.2 動(dòng)態(tài)污點(diǎn)分析實(shí)現(xiàn)28-31
• 2.5 SQL注入漏洞31-35
• 2.5.1 SQL注入漏洞成因31
• 2.5.2 SQL注入漏洞分類31-33
• 2.5.3 SQL注入漏洞危害33
• 2.5.4 SQL注入漏洞防御方法33-34
• 2.5.5 SQL注入漏洞檢測(cè)方法34-35
• 2.6 XSS跨站腳本漏洞35-38
• 2.6.1 XSS漏洞成因35
• 2.6.2 XSS漏洞分類35-37
• 2.6.3 XSS漏洞危害37-38
• 2.6.4 XSS漏洞防御方法38
• 2.6.5 XSS漏洞檢測(cè)方法38
• 2.7 本章小結(jié)38-39
• 第三章 基于Fuzzing與動(dòng)態(tài)污點(diǎn)的漏洞定位方法研究39-46
• 3.1 漏洞定位方法概述39-41
• 3.1.1 漏洞定位方法框架39-40
• 3.1.2 漏洞定位方法流程40-41
• 3.2 主要算法描述41-45
• 3.2.1 污染傳播算法41-44
• 3.2.2 漏洞定位算法44-45
• 3.3 本章小結(jié)45-46
• 第四章 基于Fuzzing與動(dòng)態(tài)污點(diǎn)的漏洞定位方法的實(shí)現(xiàn)46-67
• 4.1 爬蟲(chóng)模塊46-50
• 4.1.1 爬蟲(chóng)模塊設(shè)計(jì)46-47
• 4.1.2 爬蟲(chóng)模塊實(shí)現(xiàn)47-50
• 4.2 Fuzzing測(cè)試模塊50-58
• 4.2.1 SQL注入攻擊向量庫(kù)設(shè)計(jì)50
• 4.2.2 XSS攻擊向量庫(kù)設(shè)計(jì)50-53
• 4.2.3 Fuzzing模塊設(shè)計(jì)53-55
• 4.2.4 Fuzzing模塊實(shí)現(xiàn)55-58
• 4.3 污點(diǎn)標(biāo)記模塊58-61
• 4.3.1 標(biāo)記模塊設(shè)計(jì)58-59
• 4.3.2 標(biāo)記模塊實(shí)現(xiàn)59-61
• 4.4 污點(diǎn)傳播模塊61-66
• 4.4.1 污點(diǎn)傳播規(guī)則定義61-64
• 4.4.2 污點(diǎn)傳播記錄實(shí)現(xiàn)64-66
• 4.5 污點(diǎn)檢測(cè)模塊66
• 4.6 本章小結(jié)66-67
• 第五章 實(shí)驗(yàn)與結(jié)果分析67-75
• 5.1 實(shí)驗(yàn)環(huán)境67
• 5.2 實(shí)驗(yàn)過(guò)程67-68
• 5.3 實(shí)驗(yàn)結(jié)果及分析68-74
• 5.3.1 時(shí)間復(fù)雜度分析68-70
• 5.3.2 誤報(bào)率分析70-72
• 5.3.3 漏報(bào)率分析72-74
• 5.4 本章小結(jié)74-75
• 總結(jié)與展望75-77
• 參考文獻(xiàn)77-81
• 攻讀碩士學(xué)位期間發(fā)表的論文及著作權(quán)81-83
• 致謝#@@

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 杜駿震;動(dòng)態(tài)Web應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)接口技術(shù)[J];山西電子技術(shù);2000年06期

2 王健;楊柳松;;基于用戶組角色的數(shù)字林業(yè)Web應(yīng)用系統(tǒng)權(quán)限設(shè)計(jì)[J];東北林業(yè)大學(xué)學(xué)報(bào);2008年08期

3 翁雷雷;蔡皖東;姚燁;;Web應(yīng)用系統(tǒng)負(fù)載測(cè)試加壓策略研究[J];計(jì)算機(jī)應(yīng)用;2012年10期

4 賈樹(shù)生;;WEB應(yīng)用系統(tǒng)中權(quán)限管理驗(yàn)證類的設(shè)計(jì)與應(yīng)用[J];石家莊職業(yè)技術(shù)學(xué)院學(xué)報(bào);2013年02期

5 彭陽(yáng)初;基于COM組件技術(shù)的多層Web應(yīng)用系統(tǒng)的開(kāi)發(fā)[J];信陽(yáng)師范學(xué)院學(xué)報(bào)(自然科學(xué)版);2004年02期

6 吳麗娟;;淺析Web應(yīng)用系統(tǒng)的安全及防護(hù)策略[J];信息安全與技術(shù);2011年07期

7 張霞;丁曉明;;Web應(yīng)用系統(tǒng)可伸縮性度量方法的研究[J];科學(xué)技術(shù)與工程;2010年04期

8 翁志寧;;基于Ajax框架WEB應(yīng)用系統(tǒng)研究與設(shè)計(jì)[J];科技風(fēng);2012年06期

9 許諾;;基于Web應(yīng)用系統(tǒng)測(cè)試技術(shù)研究[J];信息與電腦(理論版);2013年10期

10 張國(guó)和;徐駿善;;Web應(yīng)用系統(tǒng)的安全性設(shè)計(jì)[J];微型機(jī)與應(yīng)用;2010年21期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前5條

1 黃德生;劉先鋒;劉衛(wèi)東;王誠(chéng);;基于中間件的WEB應(yīng)用系統(tǒng)[A];全國(guó)第十四屆計(jì)算機(jī)科學(xué)及其在儀器儀表中的應(yīng)用學(xué)術(shù)交流會(huì)論文集[C];2001年

2 李茂鑫;;小型Web應(yīng)用系統(tǒng)架構(gòu)分析與性能優(yōu)化[A];2008年計(jì)算機(jī)應(yīng)用技術(shù)交流會(huì)論文集[C];2008年

3 俞嘉地;潘煜;;分布式Web應(yīng)用系統(tǒng)的結(jié)構(gòu)[A];全國(guó)第十四屆計(jì)算機(jī)科學(xué)及其在儀器儀表中的應(yīng)用學(xué)術(shù)交流會(huì)論文集[C];2001年

4 侯金奎;萬(wàn)建成;王帥強(qiáng);;一種模型驅(qū)動(dòng)的Web應(yīng)用系統(tǒng)開(kāi)發(fā)方法[A];第四屆中國(guó)軟件工程大會(huì)論文集[C];2007年

5 歐歌;張紅梅;宋黎明;;B/S結(jié)構(gòu)Web應(yīng)用系統(tǒng)測(cè)試綜述[A];第13屆全國(guó)計(jì)算機(jī)、網(wǎng)絡(luò)在現(xiàn)代科學(xué)技術(shù)領(lǐng)域的應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2007年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 張瑩瑩;Web應(yīng)用系統(tǒng)漏洞定位技術(shù)研究與實(shí)現(xiàn)[D];廣東工業(yè)大學(xué);2015年

2 李瑋越;面向軟件老化的Web應(yīng)用系統(tǒng)分級(jí)再生策略研究[D];東北大學(xué);2011年

3 張衛(wèi)爭(zhēng);Struts框架下Web應(yīng)用系統(tǒng)的開(kāi)發(fā)與研究[D];太原理工大學(xué);2008年

4 李根深;基于動(dòng)態(tài)軟件體系結(jié)構(gòu)的自適應(yīng)Web應(yīng)用系統(tǒng)研究與設(shè)計(jì)[D];五邑大學(xué);2014年

5 張霞;Web應(yīng)用系統(tǒng)可伸縮性度量方法的研究[D];西南大學(xué);2010年

6 肖路;Web應(yīng)用系統(tǒng)功能測(cè)試研究與應(yīng)用[D];重慶大學(xué);2007年

7 李翔;Struts2框架下Web應(yīng)用系統(tǒng)的設(shè)計(jì)與研發(fā)[D];西南財(cái)經(jīng)大學(xué);2010年

8 盧建華;基于Web應(yīng)用系統(tǒng)的性能測(cè)試及工具開(kāi)發(fā)[D];西安電子科技大學(xué);2009年

9 李海虹;基于J2EE的Web應(yīng)用系統(tǒng)多層體系結(jié)構(gòu)的研究與實(shí)現(xiàn)[D];西安電子科技大學(xué);2006年

10 史寧寧;一種面向Web應(yīng)用系統(tǒng)的自動(dòng)化測(cè)試框架[D];吉林大學(xué);2011年

  本文關(guān)鍵詞：Web應(yīng)用系統(tǒng)漏洞定位技術(shù)研究與實(shí)現(xiàn)，，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：344460