當(dāng)前位置：主頁 > 管理論文 > 移動網(wǎng)絡(luò)論文 >

Web應(yīng)用系統(tǒng)漏洞檢測技術(shù)研究與實現(xiàn)

發(fā)布時間：2017-06-07 23:03

本文關(guān)鍵詞：Web應(yīng)用系統(tǒng)漏洞檢測技術(shù)研究與實現(xiàn)，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著Web技術(shù)的發(fā)展,網(wǎng)站給人們帶來的體驗越來越好。特別是Web 2.0,告別了沉重的請求-返回的模式,采用更輕便的局部刷新模式,讓用戶體驗得到極大的提高。其中,Ajax技術(shù)在Web2.0中占據(jù)了主導(dǎo)地位。然而Ajax技術(shù)將一部分邏輯處理從服務(wù)器端轉(zhuǎn)移到客戶端,暴露了更多的接口,增加了許多針對Web應(yīng)用程序的安全威脅,其中嚴(yán)重程度最高的就是SQL注入攻擊和跨站腳本攻擊。國際開源安全組織公布的十種最嚴(yán)重的Web應(yīng)用程序安全漏洞排行榜中可知,SQL注入攻擊和跨站腳本攻擊一直處于前三的位置。這些漏洞可在用戶毫不知情的情況下進(jìn)行攻擊,威脅性很大。就目前而言,采取較多的行為都是被動的防范措施,比如防火墻等。這樣做明顯忽略應(yīng)用程序級別的安全問題,使之在高層面缺乏有效的防范方式。因此依據(jù)XSS跨站腳本和SQL注入等常見漏洞的產(chǎn)生原因和檢測方法,設(shè)計并實現(xiàn)Web應(yīng)用安全漏洞自動檢測系統(tǒng)作為輔助工具,提早發(fā)現(xiàn)應(yīng)用程序級別的安全問題可以防患于未然。本文所做的研究工作包括以下的幾個方面：(1)重點分析Web應(yīng)用程序的工作流程和可利用的各種安全漏洞。針對跨站腳本攻擊和SQL注入的攻擊原理及其分類進(jìn)行綜述,并給出漏洞檢測的研究現(xiàn)狀,同時對前人所研究的內(nèi)容進(jìn)行比較分析。(2)分析不同種類的網(wǎng)絡(luò)爬蟲過程中存在的問題,設(shè)計一個高效并合適本系統(tǒng)的網(wǎng)絡(luò)爬蟲,然后通過對XSS跨站腳本漏洞和SQL注入漏洞攻擊手段的研究,創(chuàng)新性的提出了攻擊向量的功能類型拆分與隨機(jī)組合以及變形規(guī)則來提高系統(tǒng)檢測的準(zhǔn)確性。(3)提出基于頁面代碼行為的漏洞檢測算法和基于JavaScript中的XMLHttpRequest檢測算法,根據(jù)網(wǎng)絡(luò)爬蟲提取到的輸入點,注入錯誤數(shù)據(jù),運用動態(tài)檢測技術(shù),細(xì)粒度的檢測Web應(yīng)用中存在的XSS跨站腳本漏洞和SQL注入漏洞。(4)對系統(tǒng)進(jìn)行詳細(xì)的設(shè)計,運用C#實現(xiàn)漏洞檢測工具SXFINDER。詳細(xì)說明整個系統(tǒng)的流程和各個功能子模塊的設(shè)計。(5)將系統(tǒng)運用到真實的項目中,對系統(tǒng)進(jìn)行了詳細(xì)功能模塊測試和性能測試,并與其它安全漏洞檢測軟件進(jìn)行對比,驗證本文提出的算法具有可行性、設(shè)計的軟件具有可靠性。本文提出的方法中主要有以下創(chuàng)新點：(1)對網(wǎng)絡(luò)爬蟲進(jìn)行改進(jìn),主要在三方面：①合適的爬蟲搜索策略；②正確的URL合法性要求；③高效率的去除重復(fù)URL。(2)提出了一種攻擊向量的拆分與隨機(jī)組合以及變形規(guī)則的方法來生成攻擊向量。主要思想是將攻擊向量按不同功能類型拆分到不同的模板庫,再通過模板庫之間隨機(jī)組合與加入變形規(guī)則來生成大量的,多變化的攻擊向量。(3)提出了一種基于頁面代碼行為的Web應(yīng)用的漏洞檢測方法,實驗證明有較低的誤報率和較小的時間開銷。(4)提出了一種基于頁面JavaScript代碼中XMLHttpRequest對象分析算法,實現(xiàn)了針對Ajax Web應(yīng)用程序更全面的檢測。(5)運用C#編程技術(shù),設(shè)計并實現(xiàn)了用于檢測XSS跨站腳本漏洞和SQL注入漏洞的系統(tǒng)原型SXFINDER。
【關(guān)鍵詞】：XSS漏洞 SQL注入漏洞 網(wǎng)絡(luò)爬蟲 漏洞檢測 規(guī)則
【學(xué)位授予單位】：廣東工業(yè)大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP393.09
【目錄】：