Web輸入驗證脆弱性檢測方法研究與改進(jìn)
發(fā)布時間:2022-01-04 15:01
隨著web技術(shù)的不斷發(fā)展,基于web的應(yīng)用越來越流行,針對web的攻擊也愈加頻繁,因此web應(yīng)用的安全問題正引起廣泛關(guān)注。web應(yīng)用遭受安全攻擊的來源之一就是用戶輸入,為了防范web攻擊,需要對用戶輸入進(jìn)行有效驗證。事實上,在web應(yīng)用中存在著驗證不足的問題,因為驗證不足導(dǎo)致程序中存在輸入驗證脆弱性。在輸入驗證脆弱性檢測過程中,評價檢測效果的重要指標(biāo)之一就是能否對web應(yīng)用中的驗證操作進(jìn)行完整和有效的分析。在檢測脆弱性時,將約束提取和約束求解相結(jié)合是當(dāng)前web脆弱性檢測的常見模式。該模式能對提取到的表示驗證的約束進(jìn)行評價,可以有效降低分析中的誤報率和提升分析結(jié)果的準(zhǔn)確度,相比其他模式具有優(yōu)勢。本文對這一模式中的兩個階段做了進(jìn)一步研究,發(fā)現(xiàn)在約束提取完整性和評價準(zhǔn)確性方面,這種模式還存在不足,并提出改進(jìn)方法。1.分析了web應(yīng)用中的參數(shù)驗證機(jī)制和驗證不足導(dǎo)致的脆弱性——輸入驗證脆弱性。根據(jù)脆弱性檢測的需要對驗證操作進(jìn)行分類,并總結(jié)了輸入驗證脆弱性的危害及常見的攻擊。2.總結(jié)了輸入驗證脆弱性檢測的主要方法。主要介紹了這些方法的理論基礎(chǔ)和適應(yīng)范圍,比較了這些方法的優(yōu)缺點。發(fā)現(xiàn)傳統(tǒng)污點分析不能...
【文章來源】:南京大學(xué)江蘇省 211工程院校 985工程院校 教育部直屬院校
【文章頁數(shù)】:77 頁
【學(xué)位級別】:碩士
【文章目錄】:
摘要
Abstract
第一章 緒論
1.1 研究背景
1.2 研究內(nèi)容
1.3 本文組織
第二章 Web輸入驗證及脆弱性
2.1 Web輸入驗證
2.1.1 從表現(xiàn)形式分類
2.1.2 從驗證能力分類
2.2 Web輸入驗證脆弱性
2.2.1 SQL注入脆弱性
2.2.2 跨站腳本(XSS)
2.3 本章小結(jié)
第三章 Web脆弱性分析研究
3.1 約束提取
3.1.1 污點分析
3.1.2 符號執(zhí)行
3.1.3 分析比較
3.2 約束求解
3.2.1 字符串分析
3.2.2 字符串分析用于脆弱性檢測
3.2.3 不足之處
3.3 本章小結(jié)
第四章 改進(jìn)的web輸入驗證脆弱性檢測
4.1 改進(jìn)動機(jī)
4.2 驗證提取
4.2.1 域粒度污染標(biāo)記
4.2.2 污染驅(qū)動的切片
4.3 驗證評價
4.3.1 輸入字符集劃分
4.3.2 驗證操作分類
4.3.3 最小分析域
4.3.4 變量名相關(guān)的驗證策略
4.4 改進(jìn)的web輸入驗證脆弱性檢測方案
4.5 本章小結(jié)
第五章 設(shè)計與實現(xiàn)
5.1 系統(tǒng)框架
5.2 平臺介紹
5.2.1 Pixy
5.2.2 dk.brics.automaton和SUSHI
5.3 驗證提取模塊
5.3.1 污染驅(qū)動的切片子模塊
5.4 驗證評價模塊
5.4.1 粗粒度分析子模塊
5.4.2 細(xì)粒度分析子模塊
5.5 本章小結(jié)
第六章 實驗過程與結(jié)果
6.1 實驗對象
6.2 實驗結(jié)果與分析
6.2.1 包含檢查型驗證操作的驗證圖
6.2.2 驗證圖分類情況
6.2.3 包含有意義變量名的驗證圖
6.2.4 str_replace操作
6.2.5 常量相關(guān)的連接操作
6.3 本章小結(jié)
第七章 總結(jié)與展望
7.1 本文工作的創(chuàng)新點
7.2 進(jìn)一步工作
參考文獻(xiàn)
簡歷與科研成果
致謝
【參考文獻(xiàn)】:
期刊論文
[1]字符串分析研究進(jìn)展[J]. 梅宏,王嘯吟,張路. 軟件學(xué)報. 2013(01)
本文編號:3568554
【文章來源】:南京大學(xué)江蘇省 211工程院校 985工程院校 教育部直屬院校
【文章頁數(shù)】:77 頁
【學(xué)位級別】:碩士
【文章目錄】:
摘要
Abstract
第一章 緒論
1.1 研究背景
1.2 研究內(nèi)容
1.3 本文組織
第二章 Web輸入驗證及脆弱性
2.1 Web輸入驗證
2.1.1 從表現(xiàn)形式分類
2.1.2 從驗證能力分類
2.2 Web輸入驗證脆弱性
2.2.1 SQL注入脆弱性
2.2.2 跨站腳本(XSS)
2.3 本章小結(jié)
第三章 Web脆弱性分析研究
3.1 約束提取
3.1.1 污點分析
3.1.2 符號執(zhí)行
3.1.3 分析比較
3.2 約束求解
3.2.1 字符串分析
3.2.2 字符串分析用于脆弱性檢測
3.2.3 不足之處
3.3 本章小結(jié)
第四章 改進(jìn)的web輸入驗證脆弱性檢測
4.1 改進(jìn)動機(jī)
4.2 驗證提取
4.2.1 域粒度污染標(biāo)記
4.2.2 污染驅(qū)動的切片
4.3 驗證評價
4.3.1 輸入字符集劃分
4.3.2 驗證操作分類
4.3.3 最小分析域
4.3.4 變量名相關(guān)的驗證策略
4.4 改進(jìn)的web輸入驗證脆弱性檢測方案
4.5 本章小結(jié)
第五章 設(shè)計與實現(xiàn)
5.1 系統(tǒng)框架
5.2 平臺介紹
5.2.1 Pixy
5.2.2 dk.brics.automaton和SUSHI
5.3 驗證提取模塊
5.3.1 污染驅(qū)動的切片子模塊
5.4 驗證評價模塊
5.4.1 粗粒度分析子模塊
5.4.2 細(xì)粒度分析子模塊
5.5 本章小結(jié)
第六章 實驗過程與結(jié)果
6.1 實驗對象
6.2 實驗結(jié)果與分析
6.2.1 包含檢查型驗證操作的驗證圖
6.2.2 驗證圖分類情況
6.2.3 包含有意義變量名的驗證圖
6.2.4 str_replace操作
6.2.5 常量相關(guān)的連接操作
6.3 本章小結(jié)
第七章 總結(jié)與展望
7.1 本文工作的創(chuàng)新點
7.2 進(jìn)一步工作
參考文獻(xiàn)
簡歷與科研成果
致謝
【參考文獻(xiàn)】:
期刊論文
[1]字符串分析研究進(jìn)展[J]. 梅宏,王嘯吟,張路. 軟件學(xué)報. 2013(01)
本文編號:3568554
本文鏈接:http://sikaile.net/guanlilunwen/ydhl/3568554.html
最近更新
教材專著
