本文關(guān)鍵詞：SQL注入與XSS攻擊自動(dòng)化檢測(cè)關(guān)鍵技術(shù)研究，由筆耕文化傳播整理發(fā)布。

【摘要】：Web應(yīng)用是最受黑客青睞的攻擊目標(biāo),為了應(yīng)對(duì)攻擊威脅,企業(yè)開(kāi)始越來(lái)越重視對(duì)Web應(yīng)用軟件的安全測(cè)試。對(duì)于Web系統(tǒng)來(lái)說(shuō),最具時(shí)效性和功效性的自動(dòng)化檢測(cè)分析來(lái)自于滲透測(cè)試。滲透測(cè)試是一種模擬正常安全攻擊行為,并對(duì)行為結(jié)果響應(yīng)進(jìn)行分析,以確定是否存在安全漏洞的一種黑盒測(cè)試方法。許多安全研究者投入大量精力對(duì)滲透測(cè)試進(jìn)行研究,并取得了許多成果,但目前尚且沒(méi)有成熟的理論模型來(lái)優(yōu)化滲透測(cè)試流程,也沒(méi)有適當(dāng)?shù)睦碚摲椒▉?lái)指導(dǎo)生成優(yōu)化的測(cè)試用例集合。這使得滲透測(cè)試具有較大的盲目性,造成測(cè)試效率和準(zhǔn)確度不理想。 本文主要針對(duì)目前比較流行和危害較大的兩種安全漏洞---SQL注入(SQL Injection)和跨站腳本(Cross Site Script,簡(jiǎn)稱xsS)進(jìn)行研究。通過(guò)對(duì)該兩種漏洞類型測(cè)試用例的有效生成和優(yōu)化問(wèn)題及自動(dòng)化檢測(cè)分析方式的研究,提出了基于有向圖的SQL注入測(cè)試用例生成模型和基于攻擊位置的跨站攻擊測(cè)試用例生成模型。并利用模型指導(dǎo)、優(yōu)化測(cè)試用例集的生成過(guò)程,最終生成了優(yōu)化的測(cè)試用例集合。另外,針對(duì)漏洞自動(dòng)化檢測(cè)流程,提出了基于代理模式的滲透測(cè)試模型來(lái)優(yōu)化檢測(cè)分析過(guò)程。利用該模型,安全分析者可以盡最大可能的收集測(cè)試數(shù)據(jù),避免對(duì)測(cè)試輸入點(diǎn)集合的遺漏,提高了測(cè)試準(zhǔn)確率。 通過(guò)實(shí)驗(yàn)和測(cè)試,一方面通過(guò)新的用例模型生成了優(yōu)化的測(cè)試用例集合,并對(duì)最終用例集合的有效性進(jìn)行了測(cè)試分析。其次,對(duì)新的滲透測(cè)試模型進(jìn)行了檢測(cè)分析,驗(yàn)證了模型的有效性,取得了很好的效果。
【關(guān)鍵詞】：滲透測(cè)試 SQL注入 跨站腳本 測(cè)試用例
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08
【目錄】：

• 摘要4-5
• ABSTRACT5-9
• 第一章 緒論9-14
• 1.1 研究背景9-10
• 1.2 研究現(xiàn)狀10-12
• 1.3 論文主要工作12
• 1.4 論文組織結(jié)構(gòu)12-14
• 第二章 SQL注入與跨站腳本研究14-25
• 2.1 SQL注入研究14-18
• 2.1.1 SQL注入原理分析14-16
• 2.1.2 SQL注入分類16-18
• 2.2 跨站腳本研究18-24
• 2.2.1 跨站腳本原理分析19
• 2.2.2 反射型XSS19-20
• 2.2.3 存儲(chǔ)型XSS20
• 2.2.4 DOM型XSS20-21
• 2.2.5 Flash XSS21-23
• 2.2.6 基于突變的跨站攻擊23-24
• 2.3 本章小結(jié)24-25
• 第三章 SQL注入和XSS跨站攻擊測(cè)試用例生成模型設(shè)計(jì)25-47
• 3.1 測(cè)試用例生成模型研究25-27
• 3.2 基于有向圖的SQL注入測(cè)試用例生成模型研究27-30
• 3.2.1 SQL注入攻擊目的研究27-28
• 3.2.2 基于有向圖的SQL注入測(cè)試用例生成模型設(shè)計(jì)28-30
• 3.3 基于有向圖的SQL注入測(cè)試用例生成模型實(shí)例化30-36
• 3.3.1 SQL注入測(cè)試用例子模型分析30-33
• 3.3.2 基于攻擊方式生成測(cè)試用例33-35
• 3.3.3 基于攻擊目的生成測(cè)試用例35-36
• 3.4 基于攻擊位置的跨站攻擊測(cè)試用例生成模型設(shè)計(jì)36-38
• 3.5 XSS跨站攻擊測(cè)試用例生成模型實(shí)例化38-40
• 3.6 測(cè)試用例生成基本準(zhǔn)則定義40-41
• 3.7 測(cè)試用例生成模型對(duì)比41-42
• 3.8 模型測(cè)試及結(jié)果分析42-46
• 3.8.1 測(cè)試流程及測(cè)試分析43-45
• 3.8.2 測(cè)試結(jié)果說(shuō)明45-46
• 3.9 本章小結(jié)46-47
• 第四章 基于代理模式的WEB應(yīng)用漏洞檢測(cè)模型設(shè)計(jì)47-57
• 4.1 WEB應(yīng)用常用漏洞檢測(cè)方式研究47-48
• 4.2 SQL注入與XSS跨站攻擊檢測(cè)模型分析與研究48-49
• 4.3 基于代理模式的WEB應(yīng)用漏洞檢測(cè)模型研究與設(shè)計(jì)49-56
• 4.3.1 模型工作流程與設(shè)計(jì)49-51
• 4.3.2 漏洞檢測(cè)模型對(duì)比51-52
• 4.3.3 模型測(cè)試及實(shí)驗(yàn)結(jié)果52-55
• 4.3.4 測(cè)試結(jié)果說(shuō)明55-56
• 4.4 本章小結(jié)56-57
• 第五章 防御及建議57-60
• 5.1 SQL注入攻擊防御策略57-58
• 5.2 XSS跨站攻擊防御策略58-60
• 第六章 總結(jié)與展望60-62
• 6.1 總結(jié)60
• 6.2 不足與展望60-62
• 參考文獻(xiàn)62-65
• 致謝65-66
• 攻讀學(xué)位期間發(fā)表的學(xué)術(shù)論文66

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前4條

1 章曉芳;陳林;徐寶文;聶長(zhǎng)海;;測(cè)試用例集約簡(jiǎn)問(wèn)題研究及其進(jìn)展[J];計(jì)算機(jī)科學(xué)與探索;2008年03期

2 文偉平;張普含;徐有福;尹亮;;參考安全補(bǔ)丁比對(duì)的軟件安全漏洞挖掘方法[J];清華大學(xué)學(xué)報(bào)(自然科學(xué)版);2011年10期

3 黃鋒;吳華瑞;;基于J2EE應(yīng)用的SQL注入分析與防范[J];計(jì)算機(jī)工程與設(shè)計(jì);2012年10期

4 王強(qiáng);蔡皖東;姚燁;;基于滲透測(cè)試的跨站腳本漏洞檢測(cè)方法研究[J];計(jì)算機(jī)技術(shù)與發(fā)展;2013年03期

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前2條

1 王欣;WEB應(yīng)用系統(tǒng)安全檢測(cè)關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2011年

2 田偉;模型驅(qū)動(dòng)的web應(yīng)用SQL注入安全漏洞滲透測(cè)試研究[D];南開(kāi)大學(xué);2012年

  本文關(guān)鍵詞：SQL注入與XSS攻擊自動(dòng)化檢測(cè)關(guān)鍵技術(shù)研究，由筆耕文化傳播整理發(fā)布。

，

本文編號(hào)：395569