發(fā)布時間：2017-06-06 09:04

  本文關鍵詞：基于爬蟲和模糊測試的XSS漏洞檢測工具設計與實現(xiàn)，，由筆耕文化傳播整理發(fā)布。

【摘要】：2003年之前的Web1.0時代,用戶只是通過瀏覽器獲得Web服務器提供的信息,所以那個時代出現(xiàn)跨站腳本XSS漏洞不常見。在Web2.0時代,Web服務器更注重與用戶的交互,動態(tài)網(wǎng)頁技術和AJAX技術,使得跨站腳本XSS漏洞出現(xiàn)井噴式爆發(fā)。開放式Web應用程序安全項目組織在2013年統(tǒng)計過十大Web安全漏洞,跨站腳本XSS漏洞已經(jīng)成為第三大漏洞。和傳統(tǒng)的緩沖區(qū)溢出漏洞相比,跨站腳本XSS漏洞因為其運行環(huán)境簡單,只需要腳本環(huán)境,所以其危害更大�；谏鲜霈F(xiàn)狀,本文設計并實現(xiàn)基于通用網(wǎng)絡爬蟲和基于漏洞庫的模糊測試的跨站腳本XSS漏洞檢測工具。本文通過對跨站腳本XSS漏洞的進行深入研究,剖析其產(chǎn)生原理,利用方式及其分類。在此基礎上,對通用網(wǎng)絡爬蟲技術、主題網(wǎng)絡爬蟲技術、深度網(wǎng)絡爬蟲技術進行研究和分析優(yōu)缺點,選取更適合本系統(tǒng)的通用網(wǎng)絡爬蟲并使用廣度優(yōu)先算法作為抓取頁面算法;也對純模糊測試技術、基于漏洞庫的模糊測試技術、基于環(huán)境的模糊測試技術進行研究和深入分析其優(yōu)缺點,綜合考慮本系統(tǒng)的特點,選取基于漏洞庫的模糊測試技術,并給出跨站腳本XSS漏洞庫的測試用例和模糊測試數(shù)據(jù)的方法。選擇高性能的Oracle數(shù)據(jù)庫,并對Oracle數(shù)據(jù)庫的庫架構優(yōu)化、表優(yōu)化方面做了詳盡的描述。使用微軟公司的Visual Studio 2008的圖像界面開發(fā)工具,采用C sharp語言開發(fā)。綜合上面的基礎知識和研究,設計并實現(xiàn)基于通用網(wǎng)絡爬蟲和基于漏洞庫的模糊測試的XSS漏洞檢測工具。通過對某網(wǎng)站的跨站腳本XSS漏洞的檢測測試,證明跨站腳本XSS漏洞檢測工具是有效的,正確的。
【關鍵詞】：XSS漏洞 網(wǎng)絡爬蟲 模糊檢測 Oracle
【學位授予單位】：華南理工大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要5-6
• Abstract6-10
• 第一章 緒論10-15
• 1.1 研究背景意義10-13
• 1.1.1 當前跨站腳本XSS漏洞防御情況11-12
• 1.1.2 當前跨站腳本XSS漏洞檢測與挖掘方法12-13
• 1.2 研究內(nèi)容13-14
• 1.3 章節(jié)安排14-15
• 第二章 跨站腳本XSS漏洞概述15-20
• 2.1 跨站腳本XSS漏洞簡介15-16
• 2.2 跨站腳本XSS漏洞產(chǎn)生的基本原理16-17
• 2.3 跨站腳本XSS漏洞分類17-20
• 2.3.1 反射型XSS17-18
• 2.3.2 持久型XSS18-20
• 第三章 網(wǎng)絡爬蟲技術20-30
• 3.1 網(wǎng)絡爬蟲的由來20
• 3.2 網(wǎng)絡爬蟲的定義、基本原理20
• 3.3 網(wǎng)絡爬蟲的分類20-26
• 3.3.1 通用網(wǎng)絡爬蟲(General Purpose Web Crawler)20-22
• 3.3.2 主題網(wǎng)絡爬蟲(Topical Web Crawler)22-24
• 3.2.3 深度網(wǎng)絡爬蟲(Deep Web Crawler)24-26
• 3.4 網(wǎng)絡爬蟲常用搜索策略26-29
• 3.4.1 深度優(yōu)先搜索算法26-28
• 3.4.2 廣度優(yōu)先搜索算法28-29
• 3.5 還需考慮的問題29-30
• 第四章 模糊測試技術30-34
• 4.1 模糊測試的分類及其比較30-31
• 4.2 基于漏洞庫的模糊測試31-33
• 4.2.1 流程圖31-32
• 4.2.2 XSS漏洞庫32
• 4.2.3 生成模糊測試數(shù)據(jù)方法模型32-33
• 4.3 還需考慮的問題33-34
• 第五章 XSS漏洞檢測工具的系統(tǒng)設計與實現(xiàn)34-56
• 5.1 Oracle數(shù)據(jù)庫設計與優(yōu)化原則34-36
• 5.2 通用網(wǎng)絡爬蟲設計36-42
• 5.2.1 通用網(wǎng)絡爬蟲模塊結構36
• 5.2.2 通用網(wǎng)絡爬蟲模塊描述36-37
• 5.2.3 通用網(wǎng)絡爬蟲詳細流程圖37
• 5.2.4 通用網(wǎng)絡爬蟲流程詳細描述37-40
• 5.2.5 通用網(wǎng)絡爬蟲表設計40-42
• 5.3 基于漏洞庫的模糊測試設計42-45
• 5.3.1 基于漏洞庫的模糊測試模塊結構42
• 5.3.2 基于漏洞庫的模糊測試模塊描述42-43
• 5.3.3 基于漏洞庫的模糊測試詳細流程圖43
• 5.3.4 基于漏洞庫的模糊測試流程詳細描述43-44
• 5.3.5 基于漏洞庫的模糊測試表設計44-45
• 5.4 XSS漏洞檢測總體系統(tǒng)設計45-51
• 5.4.1 XSS漏洞檢測架構圖46
• 5.4.2 XSS漏洞檢測模塊結構46
• 5.4.3 XSS漏洞檢測模塊描述46-48
• 5.4.4 XSS漏洞檢測詳細流程圖48
• 5.4.5 XSS漏洞檢測流程詳細描述48
• 5.4.6 XSS漏洞檢測表設計48-51
• 5.4.7 XSS漏洞檢測數(shù)據(jù)庫的概念模型51
• 5.5 XSS漏洞檢測的實現(xiàn)51-56
• 5.5.1 安裝開發(fā)環(huán)境和創(chuàng)建數(shù)據(jù)庫51-53
• 5.5.2 XSS 漏洞檢測的部分代碼53-56
• 第六章 XSS漏洞檢測工具的系統(tǒng)測試與分析56-61
• 6.1 測試的研究56-57
• 6.2 Web服務器與XSS檢測工具運行環(huán)境57-58
• 6.2.1 硬件環(huán)境要求57
• 6.2.2 軟件環(huán)境要求57-58
• 6.3 XSS漏洞測試目標的搭建58
• 6.4 XSS測試內(nèi)容及其步驟58-61
• 6.4.1 測試內(nèi)容58-59
• 6.4.2 測試步驟59-60
• 6.4.3 測試結果60-61
• 6.5 小結61
• 總結和展望61-64
• 總結61-62
• 展望62-64
• 參考文獻64-66
• 致謝66-67
• 附件67

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 于成龍;于洪波;;網(wǎng)絡爬蟲技術研究[J];東莞理工學院學報;2011年03期

2 張亮;;基于HTMLParser和HttpClient的網(wǎng)絡爬蟲原理與實現(xiàn)[J];電腦編程技巧與維護;2011年20期

3 張超;閆宏印;;多線程網(wǎng)絡爬蟲的設計與實現(xiàn)[J];電腦開發(fā)與應用;2012年06期

4 張軍峰;如何使軟件測試更有效[J];電腦知識與技術;2005年06期

5 唐波;;網(wǎng)絡爬蟲的設計與實現(xiàn)[J];電腦知識與技術;2009年11期

6 甄福東;;Oracle10g數(shù)據(jù)庫系統(tǒng)性能優(yōu)化與調(diào)整[J];電腦知識與技術;2010年22期

7 梅林;;增加動態(tài)網(wǎng)頁對搜索引擎可見度的策略[J];甘肅科技;2008年01期

8 石琳;;軟件測試方法的分析與研究[J];計算機光盤軟件與應用;2012年19期

9 許靜,陳宏剛,王慶人;軟件測試方法簡述與展望[J];計算機工程與應用;2003年13期

10 張新華;何永前;;軟件測試方法概述[J];科技視界;2012年04期

中國碩士學位論文全文數(shù)據(jù)庫 前5條

1 胡成祥;基于權值衡量網(wǎng)絡協(xié)議的模糊測試[D];山東大學;2011年

2 姚林濤;基于Lucene的Web搜索引擎實現(xiàn)[D];西安電子科技大學;2008年

3 呂賽輝;主題爬蟲關鍵技術研究及應用[D];浙江工業(yè)大學;2009年

4 陳彪;中文搜索引擎的個性化服務研究[D];電子科技大學;2010年

5 王悅潔;手機電子商務銷售系統(tǒng)的設計與實現(xiàn)[D];電子科技大學;2012年

  本文關鍵詞：基于爬蟲和模糊測試的XSS漏洞檢測工具設計與實現(xiàn)，由筆耕文化傳播整理發(fā)布。

本文編號：425884