發(fā)布時間：2017-05-26 03:00

  本文關鍵詞：SQL注入與XSS攻擊自動化檢測關鍵技術研究，由筆耕文化傳播整理發(fā)布。

【摘要】：Web應用是最受黑客青睞的攻擊目標,為了應對攻擊威脅,企業(yè)開始越來越重視對Web應用軟件的安全測試。對于Web系統(tǒng)來說,最具時效性和功效性的自動化檢測分析來自于滲透測試。滲透測試是一種模擬正常安全攻擊行為,并對行為結果響應進行分析,以確定是否存在安全漏洞的一種黑盒測試方法。許多安全研究者投入大量精力對滲透測試進行研究,并取得了許多成果,但目前尚且沒有成熟的理論模型來優(yōu)化滲透測試流程,也沒有適當?shù)睦碚摲椒▉碇笇蓛?yōu)化的測試用例集合。這使得滲透測試具有較大的盲目性,造成測試效率和準確度不理想。 本文主要針對目前比較流行和危害較大的兩種安全漏洞---SQL注入(SQL Injection)和跨站腳本(Cross Site Script,簡稱xsS)進行研究。通過對該兩種漏洞類型測試用例的有效生成和優(yōu)化問題及自動化檢測分析方式的研究,提出了基于有向圖的SQL注入測試用例生成模型和基于攻擊位置的跨站攻擊測試用例生成模型。并利用模型指導、優(yōu)化測試用例集的生成過程,最終生成了優(yōu)化的測試用例集合。另外,針對漏洞自動化檢測流程,提出了基于代理模式的滲透測試模型來優(yōu)化檢測分析過程。利用該模型,安全分析者可以盡最大可能的收集測試數(shù)據(jù),避免對測試輸入點集合的遺漏,提高了測試準確率。 通過實驗和測試,一方面通過新的用例模型生成了優(yōu)化的測試用例集合,并對最終用例集合的有效性進行了測試分析。其次,對新的滲透測試模型進行了檢測分析,驗證了模型的有效性,取得了很好的效果。
【關鍵詞】：滲透測試 SQL注入 跨站腳本 測試用例
【學位授予單位】：北京郵電大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要4-5
• ABSTRACT5-9
• 第一章 緒論9-14
• 1.1 研究背景9-10
• 1.2 研究現(xiàn)狀10-12
• 1.3 論文主要工作12
• 1.4 論文組織結構12-14
• 第二章 SQL注入與跨站腳本研究14-25
• 2.1 SQL注入研究14-18
• 2.1.1 SQL注入原理分析14-16
• 2.1.2 SQL注入分類16-18
• 2.2 跨站腳本研究18-24
• 2.2.1 跨站腳本原理分析19
• 2.2.2 反射型XSS19-20
• 2.2.3 存儲型XSS20
• 2.2.4 DOM型XSS20-21
• 2.2.5 Flash XSS21-23
• 2.2.6 基于突變的跨站攻擊23-24
• 2.3 本章小結24-25
• 第三章 SQL注入和XSS跨站攻擊測試用例生成模型設計25-47
• 3.1 測試用例生成模型研究25-27
• 3.2 基于有向圖的SQL注入測試用例生成模型研究27-30
• 3.2.1 SQL注入攻擊目的研究27-28
• 3.2.2 基于有向圖的SQL注入測試用例生成模型設計28-30
• 3.3 基于有向圖的SQL注入測試用例生成模型實例化30-36
• 3.3.1 SQL注入測試用例子模型分析30-33
• 3.3.2 基于攻擊方式生成測試用例33-35
• 3.3.3 基于攻擊目的生成測試用例35-36
• 3.4 基于攻擊位置的跨站攻擊測試用例生成模型設計36-38
• 3.5 XSS跨站攻擊測試用例生成模型實例化38-40
• 3.6 測試用例生成基本準則定義40-41
• 3.7 測試用例生成模型對比41-42
• 3.8 模型測試及結果分析42-46
• 3.8.1 測試流程及測試分析43-45
• 3.8.2 測試結果說明45-46
• 3.9 本章小結46-47
• 第四章 基于代理模式的WEB應用漏洞檢測模型設計47-57
• 4.1 WEB應用常用漏洞檢測方式研究47-48
• 4.2 SQL注入與XSS跨站攻擊檢測模型分析與研究48-49
• 4.3 基于代理模式的WEB應用漏洞檢測模型研究與設計49-56
• 4.3.1 模型工作流程與設計49-51
• 4.3.2 漏洞檢測模型對比51-52
• 4.3.3 模型測試及實驗結果52-55
• 4.3.4 測試結果說明55-56
• 4.4 本章小結56-57
• 第五章 防御及建議57-60
• 5.1 SQL注入攻擊防御策略57-58
• 5.2 XSS跨站攻擊防御策略58-60
• 第六章 總結與展望60-62
• 6.1 總結60
• 6.2 不足與展望60-62
• 參考文獻62-65
• 致謝65-66
• 攻讀學位期間發(fā)表的學術論文66

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前4條

1 章曉芳;陳林;徐寶文;聶長海;;測試用例集約簡問題研究及其進展[J];計算機科學與探索;2008年03期

2 文偉平;張普含;徐有福;尹亮;;參考安全補丁比對的軟件安全漏洞挖掘方法[J];清華大學學報(自然科學版);2011年10期

3 黃鋒;吳華瑞;;基于J2EE應用的SQL注入分析與防范[J];計算機工程與設計;2012年10期

4 王強;蔡皖東;姚燁;;基于滲透測試的跨站腳本漏洞檢測方法研究[J];計算機技術與發(fā)展;2013年03期

中國博士學位論文全文數(shù)據(jù)庫 前2條

1 王欣;WEB應用系統(tǒng)安全檢測關鍵技術研究[D];北京郵電大學;2011年

2 田偉;模型驅動的web應用SQL注入安全漏洞滲透測試研究[D];南開大學;2012年

  本文關鍵詞：SQL注入與XSS攻擊自動化檢測關鍵技術研究，由筆耕文化傳播整理發(fā)布。

，

本文編號：395569