本文關(guān)鍵詞：Web應(yīng)用常見漏洞的產(chǎn)生場景和檢測規(guī)則研究

  更多相關(guān)文章： Web安全 漏洞檢測 SQL注入 XSS CSRF 網(wǎng)絡(luò)爬蟲

【摘要】：隨著互聯(lián)網(wǎng)的發(fā)展和Web 2.0時代的到來,在許多行業(yè)領(lǐng)域都建設(shè)了Web應(yīng)用信息站點,而網(wǎng)絡(luò)上針對這些Web應(yīng)用程序的攻擊也越來越多。Web應(yīng)用出現(xiàn)的安全問題已經(jīng)非常迫切,傳統(tǒng)的網(wǎng)絡(luò)安全保護(hù)措施只能有限度地保護(hù)Web應(yīng)用不受攻擊。網(wǎng)絡(luò)防火墻必須放過80端口的http請求,且大部分Web Server都沒有仔細(xì)地檢查http請求的合法性,因此Web應(yīng)用程序成了暴露在互聯(lián)網(wǎng)上的靶子。對Web應(yīng)用安全漏洞的產(chǎn)生場景和檢測技術(shù)展開詳細(xì)研究具有基礎(chǔ)應(yīng)用價值,也引起了越來越多信息安全研究人員的注意。針對層出不窮的Web安全漏洞,本文著重研究了SQL注入、XSS(反射型、DOM型和存儲型)以及CSRF等常見重點漏洞的產(chǎn)生場景和檢測規(guī)則,此外還研究了比較適合掃描系統(tǒng)存儲和下發(fā)的規(guī)則文本組織形式,以及具有解析javascript腳本功能的爬蟲實現(xiàn)。經(jīng)過在本地搭建的測試環(huán)境的測試,提出的檢測用例能夠檢測出大部分常見漏洞,而對于存儲型XSS漏洞尚無自動化解決辦法。此外檢測用例也探測到一些實際站點的漏洞,說明研究的規(guī)則有一定的實用性。設(shè)計實現(xiàn)的爬蟲不僅能夠爬出靜態(tài)頁面中的url鏈接,對于需要解析javascript才能獲取的鏈接也可以爬取。提出的xml規(guī)則組織文本形式能夠適應(yīng)規(guī)則的擴(kuò)展,也為掃描器的規(guī)則解析和下發(fā)提供便利。
【關(guān)鍵詞】：Web安全 漏洞檢測 SQL注入 XSS CSRF 網(wǎng)絡(luò)爬蟲
【學(xué)位授予單位】：暨南大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要3-4
• ABSTRACT4-8
• 第1章 緒論8-13
• 1.1 課題背景與研究意義8-9
• 1.1.1 課題背景8-9
• 1.1.2 研究意義9
• 1.2 國內(nèi)外研究現(xiàn)狀和發(fā)展趨勢9-11
• 1.2.1 國內(nèi)外研究現(xiàn)狀9-10
• 1.2.2 發(fā)展趨勢10-11
• 1.3 研究內(nèi)容及研究思路11-12
• 1.3.1 研究內(nèi)容11
• 1.3.2 研究思路11-12
• 1.4 本文結(jié)構(gòu)編排12-13
• 第2章 Web安全基礎(chǔ)理論知識13-23
• 2.1 Web應(yīng)用基礎(chǔ)知識13-14
• 2.2 瀏覽器的同源策略14-18
• 2.2.1 同源策略簡介14-15
• 2.2.2 同源策略的作用15-17
• 2.2.3 同源策略失守17-18
• 2.3 Web漏洞的定義和產(chǎn)生原因18-20
• 2.3.1 安全漏洞的定義18-19
• 2.3.2 Web漏洞的產(chǎn)生原因19-20
• 2.4 Web安全滲透測試20-21
• 2.4.1 滲透測試的定義20-21
• 2.4.2 滲透測試的流程21
• 2.5 本地測試環(huán)境搭建21-23
• 第3章 檢測規(guī)則文本和爬蟲技術(shù)剖析23-34
• 3.1 檢測規(guī)則文本23-26
• 3.1.1 檢測規(guī)則的文本存儲形式23-25
• 3.1.2 檢測規(guī)則的下發(fā)流程25-26
• 3.2 爬蟲技術(shù)剖析26-34
• 3.2.1 爬蟲的架構(gòu)和url去重方法26-29
• 3.2.1.1 爬蟲的架構(gòu)和調(diào)度26-28
• 3.2.1.2 url去重的方法和相似性28-29
• 3.2.2 爬蟲的頁面分析29-31
• 3.2.3 爬蟲的具體實現(xiàn)和功能測試31-34
• 3.2.3.1 爬蟲的具體實現(xiàn)31-33
• 3.2.3.2 爬蟲的功能測試33-34
• 第4章 SQL注入漏洞的產(chǎn)生和檢測34-41
• 4.1 SQL注入漏洞的產(chǎn)生場景和危害34-35
• 4.2 SQL注入漏洞的檢測規(guī)則35-40
• 4.2.1 基于請求返回頁面的對比36-37
• 4.2.2 基于時間軸的判定方法37-39
• 4.2.3 基于性能測試函數(shù)BenchMark39-40
• 4.3 SQL注入漏洞的修復(fù)和防范40-41
• 第5章 XSS漏洞的產(chǎn)生和檢測41-59
• 5.1 跨站腳本漏洞的產(chǎn)生和危害41-43
• 5.2 跨站腳本漏洞的分類和產(chǎn)生場景43-48
• 5.2.1 跨站腳本漏洞的分類43-46
• 5.2.1.1 非持久型XSS漏洞43-44
• 5.2.1.2 持久型XSS漏洞44-45
• 5.2.1.3 基于DOM的XSS漏洞45-46
• 5.2.2 跨站腳本漏洞的產(chǎn)生場景46-48
• 5.3 跨站腳本漏洞的檢測規(guī)則48-56
• 5.3.1 非持久型XSS漏洞的檢測48-52
• 5.3.2 持久型XSS漏洞的檢測52-53
• 5.3.3 基于DOM的XSS漏洞的檢測53-56
• 5.4 跨站腳本漏洞的修復(fù)和防范56-59
• 第6章 CSRF漏洞的產(chǎn)生和檢測59-67
• 6.1 跨站請求偽造漏洞的產(chǎn)生場景和危害59-61
• 6.2 跨站請求偽造漏洞的分類61-63
• 6.2.1 CSRF寫—更改設(shè)置61-62
• 6.2.2 CSRF寫和讀—獲取敏感信息62-63
• 6.3 跨站請求偽造漏洞的檢測規(guī)則63-65
• 6.4 跨站請求偽造漏洞的修復(fù)和防范65-67
• 第7章 總結(jié)與展望67-68
• 參考文獻(xiàn)68-71
• 致謝71

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前8條

1 李必云;石俊萍;;Web攻擊及安全防護(hù)技術(shù)研究[J];電腦知識與技術(shù);2009年31期

2 俞小怡;常艷;許捍衛(wèi);;Web應(yīng)用中的攻擊防御技術(shù)的研究與實現(xiàn)[J];計算機(jī)安全;2008年06期

3 劉大勇;Web的安全威脅與安全防護(hù)[J];大眾科技;2005年06期

4 陳春艷;;跨站請求偽造攻擊的基本原理與防范[J];電腦知識與技術(shù);2014年05期

5 單國棟,戴英俠,王航;計算機(jī)漏洞分類研究[J];計算機(jī)工程;2002年10期

6 楊波,朱秋萍;Web安全技術(shù)綜述[J];計算機(jī)應(yīng)用研究;2002年10期

7 王蕊;葛昕;;Web應(yīng)用程序跨站腳本漏洞測試研究[J];科協(xié)論壇(下半月);2008年06期

8 馮鍇;林柏鋼;;跨站腳本漏洞的白盒測試框架的設(shè)計和實現(xiàn)[J];計算機(jī)工程與科學(xué);2011年10期

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前1條

1 潘古兵;Web應(yīng)用程序滲透測試方法研究[D];西南大學(xué);2012年

，

本文編號：934732