基于污點(diǎn)分析與模糊測(cè)試的XSS漏洞檢測(cè)方法
發(fā)布時(shí)間:2022-07-07 10:01
隨著web2.0技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)行業(yè)的普及化,web應(yīng)用程序存在的安全漏洞問題也引起了廣泛關(guān)注。跨站腳本漏洞是近些年來的研究熱點(diǎn),傳統(tǒng)的XSS漏洞檢測(cè)方式主要是基于單一的污點(diǎn)分析或者遺傳算法等檢測(cè)技術(shù),容易造成用戶數(shù)據(jù)的泄漏,檢測(cè)效率低。因此,本文基于反射型XSS漏洞的研究現(xiàn)狀和特點(diǎn),拋開單一的研究技術(shù),結(jié)合已有的理論和方法對(duì)XSS漏洞檢測(cè)技術(shù)進(jìn)行改進(jìn),利用污點(diǎn)分析和模糊測(cè)試技術(shù)相結(jié)合的方式展開了反射型跨站腳本XSS漏洞的檢測(cè)和研究。本文主要工作內(nèi)容如下:(1)對(duì)污點(diǎn)數(shù)據(jù)源和傳播路徑進(jìn)行靜態(tài)方法分析數(shù)據(jù),具體是靜態(tài)代碼審計(jì)分析網(wǎng)頁源代碼,使污染數(shù)據(jù)源所在的區(qū)域范圍進(jìn)一步縮小,使污染傳播的分析過程更高效。(2)進(jìn)行污點(diǎn)分析的漏洞利用檢測(cè)過程,根據(jù)三方面問題展開,首先是標(biāo)記污染數(shù)據(jù)源,然后是污染數(shù)據(jù)傳播,最后是檢測(cè)污染數(shù)據(jù)凈化。(3)利用網(wǎng)頁爬蟲技術(shù)分析目標(biāo)站點(diǎn)并對(duì)網(wǎng)頁鏈接進(jìn)行迭代爬取,直到頁面中所有鏈接被爬取成功。以便獲取可能存在的漏洞注入點(diǎn),為了驗(yàn)證網(wǎng)頁是否存在過濾器攔截,進(jìn)行WAF檢測(cè),查看是否存在可防御的設(shè)備。(4)以WAF檢測(cè)結(jié)果為依據(jù),使用模糊測(cè)試技術(shù)生成漏洞檢測(cè)的測(cè)試用...
【文章頁數(shù)】:68 頁
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
abstract
第一章 緒論
1.1 課題研究背景
1.2 課題研究現(xiàn)狀
1.3 課題工作內(nèi)容
1.4 本文組織結(jié)構(gòu)
第二章 相關(guān)背景知識(shí)介紹
2.1 跨站腳本漏洞的介紹
2.1.1 XSS漏洞的概述
2.1.2 XSS漏洞的分類
2.1.3 XSS漏洞的攻擊以及危害
2.2 污點(diǎn)分析技術(shù)
2.3 URL協(xié)議簡介
2.4 模糊測(cè)試技術(shù)
2.4.1 模糊測(cè)試技術(shù)概念
2.4.2 模糊測(cè)試技術(shù)的工作步驟
2.4.3 模糊測(cè)試技術(shù)的類型
2.5 本章小結(jié)
第三章 漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)及研究
3.1 系統(tǒng)的可行性分析
3.2 系統(tǒng)總體設(shè)計(jì)
3.2.1 系統(tǒng)設(shè)計(jì)思想
3.2.2 系統(tǒng)設(shè)計(jì)方案
3.3 漏洞檢測(cè)系統(tǒng)的模塊設(shè)計(jì)
3.3.1 靜態(tài)污點(diǎn)分析模塊
3.3.2 網(wǎng)絡(luò)爬蟲模塊
3.3.3 模糊測(cè)試用例生成模塊
3.3.4 WAF檢測(cè)模塊
3.3.5 漏洞檢測(cè)模塊
3.4 本章小結(jié)
第四章 靜態(tài)污點(diǎn)分析和模糊測(cè)試的反射型XSS漏洞研究
4.1 反射型XSS漏洞的形式化描述
4.2 靜態(tài)污點(diǎn)分析的實(shí)現(xiàn)
4.2.1 標(biāo)記污染數(shù)據(jù)源
4.2.2 污染數(shù)據(jù)的傳播
4.2.3 污染數(shù)據(jù)的傳播
4.3 URL爬蟲設(shè)計(jì)和實(shí)現(xiàn)
4.3.1 URL爬蟲設(shè)計(jì)原理
4.3.2 URL去重技術(shù)的實(shí)現(xiàn)
4.3.3 頁面遍歷
4.3.4 頁面分析
4.4 WAF檢測(cè)功能的實(shí)現(xiàn)
4.5 模糊測(cè)試用例的實(shí)現(xiàn)
4.6 XSS漏洞檢測(cè)的實(shí)現(xiàn)
4.7 本章小結(jié)
第五章 實(shí)驗(yàn)與分析
5.1 測(cè)試內(nèi)容和目的
5.2 測(cè)試環(huán)境
5.2.1 實(shí)驗(yàn)環(huán)境
5.2.2 環(huán)境搭建
5.3 漏洞檢測(cè)過程
5.4 測(cè)試結(jié)果與分析
5.5 漏洞檢測(cè)系統(tǒng)性能分析
5.6 本章小結(jié)
第六章 總結(jié)與展望
6.1 論文工作總結(jié)
6.2 展望
參考文獻(xiàn)
附錄1 攻讀碩士學(xué)位期間申請(qǐng)的專利
致謝
【參考文獻(xiàn)】:
期刊論文
[1]基于Python的健康數(shù)據(jù)爬蟲設(shè)計(jì)與實(shí)現(xiàn)[J]. 程增輝,夏林旭,劉茂福. 軟件導(dǎo)刊. 2019(02)
[2]基于Python的多線程網(wǎng)絡(luò)爬蟲的設(shè)計(jì)與實(shí)現(xiàn)[J]. 孫冰. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2018(04)
[3]可編程模糊測(cè)試技術(shù)[J]. 楊梅芳,霍瑋,鄒燕燕,尹嘉偉,劉寶旭,龔曉銳,賈曉啟,鄒維. 軟件學(xué)報(bào). 2018(05)
[4]WAF規(guī)則的自動(dòng)探測(cè)與發(fā)現(xiàn)技術(shù)研究[J]. 張琦,翟健宏. 智能計(jì)算機(jī)與應(yīng)用. 2017(06)
[5]基于動(dòng)態(tài)污點(diǎn)分析的Android隱私泄露檢測(cè)方法[J]. 劉陽,俞研. 計(jì)算機(jī)應(yīng)用與軟件. 2017(09)
[6]JavaScript優(yōu)化編譯執(zhí)行模式下的動(dòng)態(tài)污點(diǎn)分析技術(shù)[J]. 梁彬,龔偉剛,游偉,李贊,石文昌. 清華大學(xué)學(xué)報(bào)(自然科學(xué)版). 2017(09)
[7]Web應(yīng)用程序漏洞檢測(cè)系統(tǒng)設(shè)計(jì)[J]. 陳春玲,張凡,余瀚. 計(jì)算機(jī)技術(shù)與發(fā)展. 2017(09)
[8]一種基于Apache的CSRF防御模塊的實(shí)現(xiàn)[J]. 王馬龍,劉健. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2017(03)
[9]淺析CSRF漏洞檢測(cè)、利用及防范[J]. 嚴(yán)亞萍,胡勇. 通信技術(shù). 2017(03)
[10]Android動(dòng)態(tài)加載與反射機(jī)制的靜態(tài)污點(diǎn)分析研究[J]. 樂洪舟,張玉清,王文杰,劉奇旭. 計(jì)算機(jī)研究與發(fā)展. 2017(02)
碩士論文
[1]面向Web網(wǎng)站安全檢測(cè)的WAF規(guī)則發(fā)現(xiàn)技術(shù)[D]. 張琦.哈爾濱工業(yè)大學(xué) 2017
[2]基于爬蟲和模糊測(cè)試的XSS漏洞檢測(cè)工具設(shè)計(jì)與實(shí)現(xiàn)[D]. 王云.華南理工大學(xué) 2015
[3]基于靜態(tài)分析的PHP代碼缺陷檢測(cè)[D]. 霍志鵬.北京郵電大學(xué) 2015
[4]基于Fuzzing技術(shù)的WEB應(yīng)用程序漏洞挖掘技術(shù)研究[D]. 陳景峰.北方工業(yè)大學(xué) 2012
[5]基于DOM的HTML網(wǎng)頁正文信息抽取模塊的設(shè)計(jì)與實(shí)現(xiàn)[D]. 蘇小魯.北京郵電大學(xué) 2011
[6]基于遺傳算法的模糊測(cè)試技術(shù)研究[D]. 章淑琴.華中科技大學(xué) 2011
[7]基于模糊測(cè)試的XSS漏洞檢測(cè)系統(tǒng)研究與實(shí)現(xiàn)[D]. 劉為.湖南大學(xué) 2010
[8]基于AJAX應(yīng)用程序的跨站腳本攻擊防御方法研究[D]. 張倩婕.湖南大學(xué) 2010
[9]變異測(cè)試技術(shù)應(yīng)用研究[D]. 茆亮亮.中國科學(xué)技術(shù)大學(xué) 2010
[10]基于HTML標(biāo)記的主題爬行器的設(shè)計(jì)與實(shí)現(xiàn)[D]. 王濤.電子科技大學(xué) 2009
本文編號(hào):3656218
【文章頁數(shù)】:68 頁
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
abstract
第一章 緒論
1.1 課題研究背景
1.2 課題研究現(xiàn)狀
1.3 課題工作內(nèi)容
1.4 本文組織結(jié)構(gòu)
第二章 相關(guān)背景知識(shí)介紹
2.1 跨站腳本漏洞的介紹
2.1.1 XSS漏洞的概述
2.1.2 XSS漏洞的分類
2.1.3 XSS漏洞的攻擊以及危害
2.2 污點(diǎn)分析技術(shù)
2.3 URL協(xié)議簡介
2.4 模糊測(cè)試技術(shù)
2.4.1 模糊測(cè)試技術(shù)概念
2.4.2 模糊測(cè)試技術(shù)的工作步驟
2.4.3 模糊測(cè)試技術(shù)的類型
2.5 本章小結(jié)
第三章 漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)及研究
3.1 系統(tǒng)的可行性分析
3.2 系統(tǒng)總體設(shè)計(jì)
3.2.1 系統(tǒng)設(shè)計(jì)思想
3.2.2 系統(tǒng)設(shè)計(jì)方案
3.3 漏洞檢測(cè)系統(tǒng)的模塊設(shè)計(jì)
3.3.1 靜態(tài)污點(diǎn)分析模塊
3.3.2 網(wǎng)絡(luò)爬蟲模塊
3.3.3 模糊測(cè)試用例生成模塊
3.3.4 WAF檢測(cè)模塊
3.3.5 漏洞檢測(cè)模塊
3.4 本章小結(jié)
第四章 靜態(tài)污點(diǎn)分析和模糊測(cè)試的反射型XSS漏洞研究
4.1 反射型XSS漏洞的形式化描述
4.2 靜態(tài)污點(diǎn)分析的實(shí)現(xiàn)
4.2.1 標(biāo)記污染數(shù)據(jù)源
4.2.2 污染數(shù)據(jù)的傳播
4.2.3 污染數(shù)據(jù)的傳播
4.3 URL爬蟲設(shè)計(jì)和實(shí)現(xiàn)
4.3.1 URL爬蟲設(shè)計(jì)原理
4.3.2 URL去重技術(shù)的實(shí)現(xiàn)
4.3.3 頁面遍歷
4.3.4 頁面分析
4.4 WAF檢測(cè)功能的實(shí)現(xiàn)
4.5 模糊測(cè)試用例的實(shí)現(xiàn)
4.6 XSS漏洞檢測(cè)的實(shí)現(xiàn)
4.7 本章小結(jié)
第五章 實(shí)驗(yàn)與分析
5.1 測(cè)試內(nèi)容和目的
5.2 測(cè)試環(huán)境
5.2.1 實(shí)驗(yàn)環(huán)境
5.2.2 環(huán)境搭建
5.3 漏洞檢測(cè)過程
5.4 測(cè)試結(jié)果與分析
5.5 漏洞檢測(cè)系統(tǒng)性能分析
5.6 本章小結(jié)
第六章 總結(jié)與展望
6.1 論文工作總結(jié)
6.2 展望
參考文獻(xiàn)
附錄1 攻讀碩士學(xué)位期間申請(qǐng)的專利
致謝
【參考文獻(xiàn)】:
期刊論文
[1]基于Python的健康數(shù)據(jù)爬蟲設(shè)計(jì)與實(shí)現(xiàn)[J]. 程增輝,夏林旭,劉茂福. 軟件導(dǎo)刊. 2019(02)
[2]基于Python的多線程網(wǎng)絡(luò)爬蟲的設(shè)計(jì)與實(shí)現(xiàn)[J]. 孫冰. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2018(04)
[3]可編程模糊測(cè)試技術(shù)[J]. 楊梅芳,霍瑋,鄒燕燕,尹嘉偉,劉寶旭,龔曉銳,賈曉啟,鄒維. 軟件學(xué)報(bào). 2018(05)
[4]WAF規(guī)則的自動(dòng)探測(cè)與發(fā)現(xiàn)技術(shù)研究[J]. 張琦,翟健宏. 智能計(jì)算機(jī)與應(yīng)用. 2017(06)
[5]基于動(dòng)態(tài)污點(diǎn)分析的Android隱私泄露檢測(cè)方法[J]. 劉陽,俞研. 計(jì)算機(jī)應(yīng)用與軟件. 2017(09)
[6]JavaScript優(yōu)化編譯執(zhí)行模式下的動(dòng)態(tài)污點(diǎn)分析技術(shù)[J]. 梁彬,龔偉剛,游偉,李贊,石文昌. 清華大學(xué)學(xué)報(bào)(自然科學(xué)版). 2017(09)
[7]Web應(yīng)用程序漏洞檢測(cè)系統(tǒng)設(shè)計(jì)[J]. 陳春玲,張凡,余瀚. 計(jì)算機(jī)技術(shù)與發(fā)展. 2017(09)
[8]一種基于Apache的CSRF防御模塊的實(shí)現(xiàn)[J]. 王馬龍,劉健. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2017(03)
[9]淺析CSRF漏洞檢測(cè)、利用及防范[J]. 嚴(yán)亞萍,胡勇. 通信技術(shù). 2017(03)
[10]Android動(dòng)態(tài)加載與反射機(jī)制的靜態(tài)污點(diǎn)分析研究[J]. 樂洪舟,張玉清,王文杰,劉奇旭. 計(jì)算機(jī)研究與發(fā)展. 2017(02)
碩士論文
[1]面向Web網(wǎng)站安全檢測(cè)的WAF規(guī)則發(fā)現(xiàn)技術(shù)[D]. 張琦.哈爾濱工業(yè)大學(xué) 2017
[2]基于爬蟲和模糊測(cè)試的XSS漏洞檢測(cè)工具設(shè)計(jì)與實(shí)現(xiàn)[D]. 王云.華南理工大學(xué) 2015
[3]基于靜態(tài)分析的PHP代碼缺陷檢測(cè)[D]. 霍志鵬.北京郵電大學(xué) 2015
[4]基于Fuzzing技術(shù)的WEB應(yīng)用程序漏洞挖掘技術(shù)研究[D]. 陳景峰.北方工業(yè)大學(xué) 2012
[5]基于DOM的HTML網(wǎng)頁正文信息抽取模塊的設(shè)計(jì)與實(shí)現(xiàn)[D]. 蘇小魯.北京郵電大學(xué) 2011
[6]基于遺傳算法的模糊測(cè)試技術(shù)研究[D]. 章淑琴.華中科技大學(xué) 2011
[7]基于模糊測(cè)試的XSS漏洞檢測(cè)系統(tǒng)研究與實(shí)現(xiàn)[D]. 劉為.湖南大學(xué) 2010
[8]基于AJAX應(yīng)用程序的跨站腳本攻擊防御方法研究[D]. 張倩婕.湖南大學(xué) 2010
[9]變異測(cè)試技術(shù)應(yīng)用研究[D]. 茆亮亮.中國科學(xué)技術(shù)大學(xué) 2010
[10]基于HTML標(biāo)記的主題爬行器的設(shè)計(jì)與實(shí)現(xiàn)[D]. 王濤.電子科技大學(xué) 2009
本文編號(hào):3656218
本文鏈接:http://sikaile.net/kejilunwen/ruanjiangongchenglunwen/3656218.html
最近更新
教材專著
