本文關(guān)鍵詞：基于滲透測試的跨站腳本漏洞檢測方法研究

  更多相關(guān)文章： 跨站腳本漏洞 攻擊向量 機(jī)器學(xué)習(xí) 漏洞檢測

【摘要】：近年來,隨著互聯(lián)網(wǎng)的飛速發(fā)展,Web應(yīng)用越來越豐富,網(wǎng)上購物、社交網(wǎng)站等Web應(yīng)用在現(xiàn)實(shí)生活中使用的更加廣泛。但另一方面,Web安全問題也不斷出現(xiàn),越來越多的網(wǎng)絡(luò)攻擊發(fā)生在我們身邊,Web應(yīng)用的安全漏洞已受到更多的關(guān)注,其中跨站腳本(XSS)漏洞是Web注入型漏洞中數(shù)量最為突出、威脅最大的漏洞之一。目前,針對跨站腳本漏洞的檢測主要集中在服務(wù)器端、客戶端、服務(wù)器端和客戶端的協(xié)作檢測,涉及的檢測技術(shù)主要有靜態(tài)漏洞檢測、動(dòng)態(tài)漏洞檢測、動(dòng)態(tài)和靜態(tài)結(jié)合的檢測方式。針對XSS漏洞自動(dòng)化檢測方法在檢測效率方面的不足,研究了改進(jìn)的基于滲透測試的檢測方法,完成了如下工作:(1)通過對現(xiàn)有的跨站腳本攻擊手段的研究以及對目前攻擊向量結(jié)構(gòu)的研究與學(xué)習(xí),提出了一種用于進(jìn)行滲透測試的基于HMM的攻擊測試腳本自動(dòng)生成策略,使用機(jī)器學(xué)習(xí)算法對生成的攻擊向量進(jìn)行優(yōu)化,并根據(jù)提交的數(shù)據(jù)在Web頁面的輸出位置對攻擊向量進(jìn)行分類。(2)提出了一種改進(jìn)滲透測試的漏洞檢測效率的方法,采用探子請求技術(shù)來減少檢測過程中與Web服務(wù)器的交互次數(shù),降低服務(wù)器的壓力。通過使用探子請求技術(shù)來對輸出點(diǎn)進(jìn)行DOM路徑定位以及探測輸出點(diǎn)的類型,在后續(xù)的漏洞檢測中,根據(jù)輸出點(diǎn)類型來選擇相應(yīng)類型的攻擊向量庫,減少漏洞檢測中不必要的測試請求。(3)提出了漏洞注入點(diǎn)提取過程中的去重處理方法,使用布隆過濾器對獲取的注入點(diǎn)進(jìn)行去重處理,以避免重復(fù)檢測不同頁面中相同的注入點(diǎn)而導(dǎo)致的檢測效率低等問題。另外,在漏洞檢測的結(jié)果分析中,采用了XPath路徑定位技術(shù),進(jìn)一步提高漏洞檢測中結(jié)果分析的效率。(4)基于上述方法,設(shè)計(jì)并實(shí)現(xiàn)了基于滲透測試的XSS漏洞檢測系統(tǒng),并對本文相關(guān)方法進(jìn)行了評價(jià)。實(shí)驗(yàn)結(jié)果表明本系統(tǒng)確實(shí)能夠有效改善XSS漏洞的檢測效率。
【關(guān)鍵詞】：跨站腳本漏洞 攻擊向量 機(jī)器學(xué)習(xí) 漏洞檢測
【學(xué)位授予單位】：北京工業(yè)大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP393.08
【目錄】：

• 摘要4-5
• Abstract5-9
• 第1章 緒論9-15
• 1.1 課題背景和研究意義9-10
• 1.2 國內(nèi)外研究現(xiàn)狀10-12
• 1.3 主要研究內(nèi)容12-13
• 1.4 本文的組織結(jié)構(gòu)13-15
• 第2章 相關(guān)技術(shù)15-25
• 2.1 Web 2.0 安全問題15-17
• 2.2 跨站腳本漏洞概述17-22
• 2.2.1 跨站腳本漏洞簡介17-18
• 2.2.2 跨站腳本漏洞的分類18-21
• 2.2.3 跨站腳本漏洞的危害21-22
• 2.3 跨站腳本漏洞檢測技術(shù)22-23
• 2.4 本章小結(jié)23-25
• 第3章 一種攻擊向量自動(dòng)化生成及優(yōu)化分類方法25-37
• 3.1 攻擊向量的人工構(gòu)建25-26
• 3.2 攻擊向量結(jié)構(gòu)化分析26-28
• 3.3 攻擊向量的分類28-29
• 3.4 攻擊向量自動(dòng)生成及優(yōu)化方法29-35
• 3.4.1 相關(guān)方法介紹29-30
• 3.4.2 攻擊向量自動(dòng)生成方法30-31
• 3.4.3 基于隱馬爾可夫模型的攻擊向量優(yōu)化31-33
• 3.4.4 基于決策樹的攻擊向量分類33-35
• 3.5 攻擊向量混淆策略35-36
• 3.6 本章小結(jié)36-37
• 第4章 基于滲透測試的XSS漏洞檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)37-49
• 4.1 系統(tǒng)的整體結(jié)構(gòu)設(shè)計(jì)37-38
• 4.1.1 設(shè)計(jì)目標(biāo)37
• 4.1.2 系統(tǒng)架構(gòu)37-38
• 4.2 攻擊向量生成38-39
• 4.3 漏洞注入點(diǎn)分析39-44
• 4.3.1 相關(guān)技術(shù)39-42
• 4.3.2 設(shè)計(jì)與實(shí)現(xiàn)42-44
• 4.4 攻擊與響應(yīng)分析44-48
• 4.4.1 功能和結(jié)構(gòu)設(shè)計(jì)44
• 4.4.2 探子請求和路徑定位算法44-45
• 4.4.3 功能實(shí)現(xiàn)45-48
• 4.5 本章小結(jié)48-49
• 第5章 基于滲透測試的XSS漏洞檢測系統(tǒng)的測試與分析49-55
• 5.1 測試環(huán)境和評估指標(biāo)49-50
• 5.1.1 測試環(huán)境49
• 5.1.2 相關(guān)評估指標(biāo)49-50
• 5.2 系統(tǒng)的測試與分析50-52
• 5.2.1 功能測試50-51
• 5.2.2 性能測試51-52
• 5.3 攻擊向量自動(dòng)化生成方法的測試與分析52-53
• 5.4 本章小結(jié)53-55
• 結(jié)論55-57
• 參考文獻(xiàn)57-61
• 攻讀碩士學(xué)位期間發(fā)表的學(xué)術(shù)論文61-63
• 致謝63

，

本文編號：553487