本文關(guān)鍵詞：基于模糊測試的Web應(yīng)用安全性檢測方法研究

  更多相關(guān)文章： Web 安全性檢測 模糊測試 測試用例生成 漏洞數(shù)據(jù)分析 量化評估

【摘要】：隨著互聯(lián)網(wǎng)的不斷發(fā)展,Web應(yīng)用在帶給用戶方便與快捷的同時,由于開發(fā)資源和時間的限制、用戶環(huán)境的復(fù)雜性和不可控制性等原因,Web應(yīng)用仍存在著大量的安全漏洞隱患。為了保障Web應(yīng)用的安全性,在Web應(yīng)用部署和使用前模仿用戶的輸入,對可能存在的漏洞進行安全性檢測是至關(guān)重要的。而作為一種模擬用戶攻擊的測試方法,模糊測試正普遍應(yīng)用于Web應(yīng)用漏洞的安全性檢測工作中�，F(xiàn)有模糊測試大都是基于“獲取數(shù)據(jù)—輸入攻擊測試用例—分析漏洞數(shù)據(jù)”的流程對Web應(yīng)用進行安全性檢測,該流程中存在測試用例覆蓋率低、漏洞響應(yīng)無法有效驗證及漏洞檢測結(jié)果無法量化評估等問題,導(dǎo)致漏洞檢測結(jié)果存在較多的漏報和誤報。針對測試用例覆蓋率低導(dǎo)致漏洞檢測漏報率高的問題,本文提出一種基于動態(tài)生成和協(xié)議變形的測試用例生成方法。該方法針對典型的XSS跨站腳本和SQL注入測試用例進行特征提取后生成特征庫,然后通過特征組合動態(tài)生成大量測試用例;同時,針對Web應(yīng)用的過濾機制進行分析,根據(jù)分析后的過濾規(guī)則采用相應(yīng)的變形方法指導(dǎo)測試用例的生成。實驗表明,該方法在Web應(yīng)用過濾環(huán)境復(fù)雜的情況下較動態(tài)生成方法和隨機枚舉方法具有較低的漏報率。針對漏洞響應(yīng)無法有效驗證導(dǎo)致漏洞檢測誤報率高的問題,本文提出一種基于污染傳播策略的漏洞數(shù)據(jù)分析方法,該方法采用模糊測試后得到的SQL注入和XSS跨站腳本漏洞注入點數(shù)據(jù)和測試用例數(shù)據(jù)為污染數(shù)據(jù),根據(jù)污染傳播規(guī)則動態(tài)跟蹤污染數(shù)據(jù),最后經(jīng)過污染檢測分析驗證是否存在漏洞。實驗表明,該方法較現(xiàn)有測試工具的漏洞響應(yīng)分析方法具有較低的誤報率。針對漏洞檢測結(jié)果無法量化評估的問題,本文提出Web安全性檢測結(jié)果的量化評估方法。該方法根據(jù)Web應(yīng)用的高危、中危以及低危漏洞數(shù)量,量化計算Web安全性檢測結(jié)果,使Web安全測評人員對Web應(yīng)用的安全狀況有較為直觀的了解,實驗結(jié)果表明,該方法可直觀表示W(wǎng)eb應(yīng)用存在的漏洞情況。
【關(guān)鍵詞】：Web 安全性檢測 模糊測試 測試用例生成 漏洞數(shù)據(jù)分析 量化評估
【學(xué)位授予單位】：西南大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP393.09
【目錄】：

• 摘要8-10
• Abstract10-12
• 第1章 緒論12-22
• 1.1 研究背景和意義12-14
• 1.2 國內(nèi)外研究現(xiàn)狀14-18
• 1.2.1 Web應(yīng)用安全性測試研究14-16
• 1.2.2 模糊測試在Web應(yīng)用安全性測試中的發(fā)展16-18
• 1.3 論文主要工作18-19
• 1.4 論文的結(jié)構(gòu)19-22
• 第2章 Web應(yīng)用安全性檢測相關(guān)理論22-33
• 2.1 Web應(yīng)用的體系結(jié)構(gòu)22
• 2.2 Web應(yīng)用安全漏洞22-24
• 2.3 XSS跨站腳本漏洞24-26
• 2.3.1 XSS跨站腳本定義24
• 2.3.2 XSS跨站腳本分類24-25
• 2.3.3 XSS漏洞危害25-26
• 2.4 SQL注入漏洞26-28
• 2.4.1 SQL注入定義26-27
• 2.4.2 SQL注入分類27-28
• 2.4.3 SQL注入漏洞危害28
• 2.5 Web應(yīng)用模糊測試?yán)碚?/span>28-32
• 2.5.1 Web應(yīng)用模糊測試原理29
• 2.5.2 Web應(yīng)用模糊測試測試流程29-30
• 2.5.3 Web應(yīng)用模糊測試用例生成方法30-32
• 2.6 本章小結(jié)32-33
• 第3章 基于動態(tài)生成和協(xié)議變形的測試用例生成方法33-49
• 3.1 現(xiàn)有的XSS攻擊和SQL注入測試用例生成方法33-34
• 3.2 基于動態(tài)生成和協(xié)議變形的測試用例生成方法34-37
• 3.2.1 總體方法流程34-35
• 3.2.2 總體方法設(shè)計35-37
• 3.3 XSS攻擊測試用例生成方法37-43
• 3.3.1 測試用例特征分析及過濾規(guī)則解析37-38
• 3.3.2 測試用例特征庫構(gòu)建及變形規(guī)則分析38-40
• 3.3.3 測試用例特征動態(tài)組合及變形生成40-43
• 3.4 SQL注入測試用例生成方法43-48
• 3.4.1 測試用例特征分析及過濾規(guī)則解析43-44
• 3.4.2 測試用例特征庫構(gòu)建及變形規(guī)則分析44-45
• 3.4.3 測試用例動態(tài)組合及變形生成45-48
• 3.5 本章小結(jié)48-49
• 第4章 基于污染傳播策略的漏洞數(shù)據(jù)分析方法及漏洞檢測量化評估方法49-60
• 4.1 污染傳播策略49-50
• 4.2 基于污染傳播策略的漏洞數(shù)據(jù)分析方法50-57
• 4.2.1 污染漏洞數(shù)據(jù)標(biāo)記53-54
• 4.2.2 污染漏洞數(shù)據(jù)傳播規(guī)則54-57
• 4.2.3 污染漏洞數(shù)據(jù)檢測與分析57
• 4.3 漏洞檢測的量化評估方法57-59
• 4.4 本章小結(jié)59-60
• 第5章 實驗與分析60-70
• 5.1 評價指標(biāo)60
• 5.2 實驗數(shù)據(jù)60-61
• 5.3 實驗方案與設(shè)定61-63
• 5.4 實驗結(jié)果與分析63-69
• 5.4.1 測試用例生成方法對比實驗63-65
• 5.4.2 漏洞數(shù)據(jù)分析方法對比實驗65
• 5.4.3 基于模糊測試的Web應(yīng)用安全性檢測方法的對比實驗65-69
• 5.5 本章小結(jié)69-70
• 第6章 總結(jié)與展望70-72
• 6.1 總結(jié)70-71
• 6.2 工作展望71-72
• 參考文獻(xiàn)72-76
• 致謝76-78
• 攻讀碩士學(xué)位期間發(fā)表的論文及參與的課題78

【相似文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前10條

1 路曉麗;葛瑋;陳新麗;郝克剛;;支持共享和復(fù)用的測試用例庫系統(tǒng)的設(shè)計[J];計算機科學(xué);2006年05期

2 胡珊;楊豐玉;張曄;劉琳嵐;;基于測試項抽取的測試用例復(fù)用方法[J];微電子學(xué)與計算機;2010年01期

3 張德平;查日軍;;劃分測試用例選擇的風(fēng)險決策方法[J];計算機應(yīng)用研究;2010年12期

4 楊翊;陳挺;許崢;;證券軟件的測試用例設(shè)計充分性實踐[J];中國證券期貨;2012年07期

5 張智軼;陳振宇;徐寶文;楊瑞;;測試用例演化研究進展[J];軟件學(xué)報;2013年04期

6 楊悅;秦湘河;楊永安;郭榮;;航天測控軟件測試用例標(biāo)準(zhǔn)及應(yīng)用研究[J];無線電工程;2013年09期

7 王侃,盧慶齡,彭艷麗;測試用例自動生成的鏈方法研究與實現(xiàn)[J];裝甲兵工程學(xué)院學(xué)報;2001年03期

8 李順華;測試用例管理方法探討[J];飛航導(dǎo)彈;2001年05期

9 徐仁佐,陳斌,陳波,吳閩泉,熊忠偉;構(gòu)造面向?qū)ο筌浖蓮?fù)用測試用例的模式研究[J];武漢大學(xué)學(xué)報(理學(xué)版);2003年05期

10 陳紹英;金成姬;;性能測試用例[J];程序員;2004年11期

中國重要會議論文全文數(shù)據(jù)庫 前10條

1 王道堂;林春哲;張凱;;軟件測試用例構(gòu)造方法與手段[A];計算機技術(shù)在工程建設(shè)中的應(yīng)用——第十二屆全國工程建設(shè)計算機應(yīng)用學(xué)術(shù)會議論文集[C];2004年

2 李磊;曹先彬;;基于進化的軟件測試用例生成方法[A];2005年“數(shù)字安徽”博士科技論壇論文集[C];2005年

3 徐李勤;王潔寧;;基于層次有色Petri網(wǎng)的軟件測試用例選取研究[A];全國第二屆信號處理與應(yīng)用學(xué)術(shù)會議�？痆C];2008年

4 林春哲;張凱;王道堂;;軟件測試用例設(shè)計分析[A];計算機技術(shù)在工程建設(shè)中的應(yīng)用——第十二屆全國工程建設(shè)計算機應(yīng)用學(xué)術(shù)會議論文集[C];2004年

5 張俠影;李志蜀;;一種優(yōu)化的測試用例約簡方法[A];2008'中國信息技術(shù)與應(yīng)用學(xué)術(shù)論壇論文集（一）[C];2008年

6 張德平;聶長海;徐寶文;;劃分測試用例選擇策略研究[A];第五屆中國測試學(xué)術(shù)會議論文集[C];2008年

7 郭從穎;;場景驅(qū)動測試用例設(shè)計及其測試自動化技術(shù)研究[A];中國計量協(xié)會冶金分會2008年會論文集[C];2008年

8 郭從穎;;場景驅(qū)動測試用例設(shè)計及其測試自動化技術(shù)研究[A];2008全國第十三屆自動化應(yīng)用技術(shù)學(xué)術(shù)交流會論文集[C];2008年

9 周曉燕;李兵;潘偉豐;覃葉宜;;基于錯誤傳播概率網(wǎng)絡(luò)的軟件回歸測試用例選擇[A];第五屆全國復(fù)雜網(wǎng)絡(luò)學(xué)術(shù)會議論文（摘要）匯集[C];2009年

10 萬琳;張威;馬雪雁;陳曼青;;基于路徑的測試用例自動生成技術(shù)[A];第十屆全國容錯計算學(xué)術(shù)會議論文集[C];2003年

中國重要報紙全文數(shù)據(jù)庫 前6條

1 深圳市信息無障礙研究會 戴杰;“聽”軟件的IT工程師[N];人民政協(xié)報;2014年

2 謝敏 沈雪芳 戴金龍;解決軟件測試的近憂和遠(yuǎn)慮[N];計算機世界;2005年

3 計算機世界實驗室 韓勖;撥云見日[N];計算機世界;2008年

4 《網(wǎng)絡(luò)世界》記者 鄭楠;ONF測試步伐有條不紊[N];網(wǎng)絡(luò)世界;2014年

5 ;找錯[N];計算機世界;2002年

6 信息產(chǎn)業(yè)部軟件與集成電路促進中心 于明邋唐仕武;駛?cè)霚y試“快車道”[N];計算機世界;2007年

中國博士學(xué)位論文全文數(shù)據(jù)庫 前10條

1 羅玲;擴展π演算的建模、驗證與測試[D];西安電子科技大學(xué);2015年

2 王志強;基于模糊測試的漏洞挖掘及相關(guān)攻防技術(shù)研究[D];西安電子科技大學(xué);2015年

3 涂徑玄;基于覆蓋分析的自動化錯誤定位關(guān)鍵技術(shù)研究[D];南京大學(xué);2016年

4 蘇亭;基于覆蓋準(zhǔn)則的軟件測試用例自動化生成方法的研究與實現(xiàn)[D];華東師范大學(xué);2016年

5 李麗;航天相機主控軟件測試用例自動生成技術(shù)的研究[D];中國科學(xué)院研究生院（長春光學(xué)精密機械與物理研究所）;2010年

6 黃如兵;組合測試用例的自適應(yīng)隨機生成與優(yōu)先級排序方法研究[D];華中科技大學(xué);2013年

7 張娟;軟件測試中測試用例復(fù)用的研究[D];上海大學(xué);2012年

8 游亮;回歸測試用例選擇技術(shù)研究[D];華中科技大學(xué);2012年

9 謝曉東;基于模型比較的軟件測試用例生成方法研究[D];華中科技大學(xué);2007年

10 李根;基于動態(tài)測試用例生成的二進制軟件缺陷自動發(fā)掘技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2010年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前10條

1 田春艷;基于灰色關(guān)聯(lián)逼近理想解方法的測試用例評價模型研究[D];昆明理工大學(xué);2009年

2 唐海鵬;基于Additional策略回歸測試用例優(yōu)先級排序優(yōu)化研究[D];西南大學(xué);2015年

3 陳夢云;基于圈復(fù)雜度和調(diào)用次數(shù)的測試用例排序方法[D];上海師范大學(xué);2015年

4 姚瑞超;廣東電網(wǎng)測試用例自動生成工具的研究與設(shè)計[D];華南理工大學(xué);2015年

5 張澤林;基于數(shù)據(jù)挖掘的軟件多故障定位與分析技術(shù)[D];南京理工大學(xué);2015年

6 鄒炳松;嵌入式軟件的圖形化測試用例生成系統(tǒng)設(shè)計與實現(xiàn)[D];哈爾濱工業(yè)大學(xué);2015年

7 李錦程;基于微信平臺的醫(yī)療就診系統(tǒng)設(shè)計與實現(xiàn)[D];哈爾濱工業(yè)大學(xué);2015年

8 趙群;軟件錯誤定位中的巧合正確性問題研究[D];哈爾濱工業(yè)大學(xué);2015年

9 常龍輝;Web應(yīng)用的測試用例優(yōu)化生成與優(yōu)先級技術(shù)[D];上海大學(xué);2015年

10 王令賽;基于粒子群優(yōu)化算法的測試用例生成技術(shù)研究[D];中國礦業(yè)大學(xué);2015年

，

本文編號：828790