當今網(wǎng)絡的迅速發(fā)展,使得Web應用在人們生活中扮演著重要角色,然而各種層出不窮的安全漏洞對此發(fā)展構成了嚴重威脅。通常有兩種方法應對這種威脅:人工檢測漏洞方法和工具化檢測漏洞方法。人工檢測漏洞的方法隨著代碼量的幾何增長越來越力不從心。工具化檢測漏洞的方法是主流檢測方式。然而大部分工具都是針對漏洞基本特征進行檢測的,很少考慮到漏洞的二階形式。二階漏洞比一階漏洞更隱蔽、破壞性更大。本課題在對Web滲透測試原理和二階攻擊原理深入研究分析后,提出一種不需Web應用源代碼檢測Web二階安全漏洞的方法——二次爬取掃描檢測法TCD(Two Crawlings Detection)。該方法通過兩次爬取掃描檢測Web二階安全漏洞,第一次爬取全站URL、發(fā)送錨點,第二次爬取存放錨點的URL,針對這些可疑URL專項檢測二階Web安全漏洞。這種方法使得檢測二階Web安全漏洞的時間損耗大大減少。TCD檢測方法彌補了現(xiàn)有工具化檢測Web安全二階漏洞的不足,為Web安全提供更深層次的保障。

【文章頁數(shù)】：54 頁

【學位級別】：碩士

【部分圖文】：

圖2-1網(wǎng)站評級相關要求[31]

2.1Web安全滲透測試方法在講解Web安全[21][22][23][24][25][26]滲透測試方法之前，我們需要先了解滲透測[27][28][29][30]。百度百科上的滲透測試并沒有一個標準的定義，國外的一些安全組織達共識的通用說法是：滲透測試是通過模擬惡意黑客的攻....

圖2-2網(wǎng)絡漫畫SQL注入漏洞[32]

2.2.1SQL注入漏洞SQL注入漏洞[11][15][27]是一種對用戶輸入處理不當而導致SQL語句偏離本意的漏洞。絕大多數(shù)的網(wǎng)站管理數(shù)據(jù)時都會使用SQL關系型數(shù)據(jù)庫，當用戶的操作涉及到數(shù)據(jù)庫時，要千萬小心，如果處理不當就會產(chǎn)生SQL注入漏洞，從而給Web....

圖2-3XSS漏洞頁面正常顯示情況

圖2-3XSS漏洞頁面正常顯示情況Figure2-3NormaldisplayofXSSvulnerabilitypage如果name=<script>alert(document.cookie)</script>這時頁面會彈出Cookie信息，如圖2....

圖2-4XSS漏洞頁面獲取Cookie信息

圖2-4XSS漏洞頁面獲取Cookie信息Figure2-4XSSvulnerabilitypagetoobtainCookieinforma就是在動態(tài)生成HTML文檔時，HTML語法中有特殊意義本被注入，產(chǎn)生了不該發(fā)生的結果。HTML語法中有特....

本文編號：3922727