本文關(guān)鍵詞：基于爬蟲技術(shù)的Web應(yīng)用程序漏洞檢測(cè)方法

  更多相關(guān)文章： XSS Web應(yīng)用 Scrapy爬蟲 攻擊向量

【摘要】：隨著Web2.0時(shí)代的到來(lái),Web技術(shù)高速發(fā)展,網(wǎng)站漸漸由原本的靜態(tài)文檔發(fā)展成為具有各種強(qiáng)大功能的動(dòng)態(tài)頁(yè)面�；ヂ�(lián)網(wǎng)用戶可以通過(guò)網(wǎng)站輕松的完成很多業(yè)務(wù)。然而由于大量的個(gè)人信息暴露在互聯(lián)網(wǎng)上,隨之帶來(lái)的安全問(wèn)題也逐年增加,跨站腳本攻擊就是眾多安全問(wèn)題中的一個(gè)。在OWASP 2015中國(guó)應(yīng)用安全論壇會(huì)議中,跨站腳本攻擊仍嚴(yán)重威脅著Web應(yīng)用程序的安全。針對(duì)跨站腳本攻擊帶來(lái)的嚴(yán)重危害,國(guó)內(nèi)外安全研究人員提出了包括黑盒測(cè)試和白盒測(cè)試的檢測(cè)方法,使得這一問(wèn)題的危害得到了一定程度上的緩解。但是隨著Web技術(shù)的更新,Web支持的功能不斷擴(kuò)展,跨站腳本的攻擊者不斷的發(fā)現(xiàn)可以繞過(guò)安全監(jiān)測(cè)過(guò)濾的方法。針對(duì)以上問(wèn)題,論文提出一種基于爬蟲技術(shù)的Web應(yīng)用程序漏洞檢測(cè)方法,改進(jìn)爬蟲爬取網(wǎng)頁(yè)、解析頁(yè)面的方法,并且研究了漏洞挖掘策略,從而解決了網(wǎng)頁(yè)爬取的效率以及網(wǎng)頁(yè)分析的性能問(wèn)題,提高了對(duì)漏洞檢測(cè)的檢測(cè)率,降低了漏洞的漏報(bào)率和誤報(bào)率,并對(duì)其做了實(shí)驗(yàn)分析,結(jié)果證明研究方案具有良好的性能和準(zhǔn)確性。論文主要工作如下:(1)研究了系統(tǒng)漏洞的成因以及當(dāng)前主要的漏洞挖掘技術(shù),分析了跨站腳本攻擊的主要手段、檢測(cè)方法以及研究現(xiàn)狀,同時(shí)對(duì)當(dāng)前主要的開源爬蟲框架也進(jìn)行了深入的學(xué)習(xí)和借鑒(2)針對(duì)目前開源的的某些爬蟲技術(shù)存在爬取效率低、網(wǎng)頁(yè)分析能力差的缺點(diǎn),通過(guò)對(duì)Scrapy框架的研究,分析了頁(yè)面爬取以及解析的具體過(guò)程,研究了URL的搜索和相似性去重,設(shè)計(jì)和實(shí)現(xiàn)了基于Scrapy框架的爬蟲Libra,解決了系統(tǒng)爬取頁(yè)面的效率以及解析頁(yè)面的性能問(wèn)題。(3)針對(duì)目前的跨站腳本攻擊檢測(cè)方法存在攻擊代碼單一、存儲(chǔ)在數(shù)據(jù)庫(kù)中笨重等缺點(diǎn),以基本跨站腳本攻擊代碼為基礎(chǔ),根據(jù)不同類型的攻擊方式,按照挖掘策略對(duì)攻擊代碼進(jìn)行變形,輸出了更加全面的攻擊代碼,從而提高了跨站腳本攻擊漏洞檢測(cè)率,降低了漏報(bào)率和誤報(bào)率。(4)實(shí)現(xiàn)了基于爬蟲技術(shù)的Web應(yīng)用程序漏洞檢測(cè)方法,對(duì)該方法進(jìn)行了測(cè)試,并對(duì)測(cè)試結(jié)果進(jìn)行了分析。
【關(guān)鍵詞】：XSS Web應(yīng)用 Scrapy爬蟲 攻擊向量
【學(xué)位授予單位】：北京工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.08
【目錄】：

• 摘要4-5
• Abstract5-9
• 第1章緒論9-15
• 1.1 研究背景與意義9-10
• 1.2 國(guó)內(nèi)外研究現(xiàn)狀10-12
• 1.3 研究?jī)?nèi)容12
• 1.4 論文的組織與安排12-15
• 第2章跨站腳本攻擊相關(guān)技術(shù)基礎(chǔ)15-27
• 2.1 爬蟲技術(shù)15-18
• 2.2 漏洞18-19
• 2.2.1 漏洞的成因18-19
• 2.2.2 漏洞的發(fā)掘技術(shù)19
• 2.3 跨站腳本攻擊19-24
• 2.3.1 跨站腳本分類20-23
• 2.3.2 跨站腳本的攻擊目的23-24
• 2.4 跨站腳本的檢測(cè)24-26
• 2.5 本章小結(jié)26-27
• 第3章 Libra爬蟲的設(shè)計(jì)與實(shí)現(xiàn)27-41
• 3.1 系統(tǒng)總體設(shè)計(jì)27-28
• 3.2 Scrapy框架的爬蟲架構(gòu)28-29
• 3.3 Libra爬蟲的設(shè)計(jì)29-33
• 3.3.1 頁(yè)面下載與解析29-31
• 3.3.2 URL去重31
• 3.3.3 URL相似性31-32
• 3.3.4 并發(fā)操作32
• 3.3.5 避免爬蟲被禁用的策略32-33
• 3.4 Libra爬蟲的實(shí)現(xiàn)33-39
• 3.5 本章小結(jié)39-41
• 第4章跨站腳本攻擊與檢測(cè)的設(shè)計(jì)與實(shí)現(xiàn)41-53
• 4.1 攻擊與檢測(cè)分析41-44
• 4.2 攻擊向量策略的設(shè)計(jì)44-46
• 4.3 攻擊向量生成模塊的實(shí)現(xiàn)46-48
• 4.4 攻擊檢測(cè)48-51
• 4.5 本章小結(jié)51-53
• 第5章實(shí)驗(yàn)與分析53-61
• 5.1 爬蟲性能檢測(cè)53-56
• 5.2 準(zhǔn)確性檢測(cè)56-59
• 5.3 本章小結(jié)59-61
• 結(jié)論61-63
• 參考文獻(xiàn)63-65
• 攻讀碩士學(xué)位期間獲得的科研成果65-67
• 致謝67

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 ;漏洞檢測(cè)代表產(chǎn)品[J];每周電腦報(bào);2003年46期

2 楊闊朝,蔣凡;模擬攻擊測(cè)試方式的漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)應(yīng)用;2005年07期

3 龍銀香;一種新的漏洞檢測(cè)系統(tǒng)方案[J];微計(jì)算機(jī)信息;2005年05期

4 賈永杰,王恩堂;一種新的漏洞檢測(cè)系統(tǒng)方案[J];中國(guó)科技信息;2005年09期

5 劉完芳;;基于網(wǎng)絡(luò)的漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)[J];湘潭師范學(xué)院學(xué)報(bào)(自然科學(xué)版);2006年03期

6 金怡;蔡勉;王亞軍;;基于中間件的漏洞檢測(cè)系統(tǒng)設(shè)計(jì)[J];信息安全與通信保密;2007年04期

7 花青;高嶺;張林;;分布式漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];東南大學(xué)學(xué)報(bào)(自然科學(xué)版);2008年S1期

8 張林;高嶺;湯聲潮;楊e，

本文編號(hào)：659816