基于模糊测试的Web应用漏洞发掘技术研究与实现
本文关键词:基于模糊测试的Web应用漏洞发掘技术研究与实现
更多相关文章: Web应用漏洞 漏洞发掘 测试用例 模糊测试 模板组合
【摘要】:随着互联网技术迅猛发展,Web应用作为各大互联网业务的重要组成部分为用户提供直观便捷的服务。用户通过Web应用享受着互联网时代带来的高效与快捷。然而,由于Web应用开发时间受限、开发人员水平参差不齐等原因致使Web应用存在大量已知和未知的漏洞,这些漏洞危害极大,威胁网络的安全。Web应用漏洞发掘与防护自然成了学术界与工业界共同关注的焦点。为了丰富Web应用漏洞发掘所需的测试数据集,本文提出一种新的模糊测试用例生成方法,弥补了现有Web应用漏洞测试技术及工具采用固定测试用例、无法动态生成与扩展的问题。提出一种基于模板的动态组合生成测试用例的方法,对典型测试用例进行归类,生成不同的模板库,再通过模板库规则和随机变化动态生成大量测试用例,从而极大丰富测试用例的变化,提高了Web应用漏洞检测率,使Web应用模糊测试成为可能。实验结果表明,使用该方法较生成测试用例的漏洞测试工具较同类工具发现了更多Web应用漏洞。实验证明本方法有效可行。针对SQL注入(SQLI)与跨站脚本(XSS)两大漏洞,本文对Web应用漏洞发掘系统进行设计和实现,改善了现有Web应用漏洞发掘系统中不合理的模块与结构。本文设计的测试工具对现实Web应用进行了全面测试,发现了现实Web应用中的诸多漏洞。
【关键词】:Web应用漏洞 漏洞发掘 测试用例 模糊测试 模板组合
【学位授予单位】:北京理工大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
- 摘要5-6
- Abstract6-9
- 第1章 绪论9-13
- 1.1 研究背景和研究目的9-10
- 1.2 研究现状及相关工具10-11
- 1.3 论文研究主要内容11-12
- 1.4 论文组织结构12-13
- 第2章 Web应用漏洞及发掘技术13-21
- 2.1 Web应用漏洞概述13
- 2.2 Web应用漏洞分类13-16
- 2.3 漏洞发掘技术16-18
- 2.4 模糊测试技术18-20
- 2.5 本章小结20-21
- 第3章 Web应用信息爬取21-28
- 3.1 网络爬虫概述21-22
- 3.2 正则表达式22-23
- 3.2.1 页面中链接匹配22-23
- 3.2.2 页面中可能漏洞点匹配23
- 3.3 网络爬虫爬行策略23-26
- 3.3.1 爬行策略选择24
- 3.3.2 爬行策略实现24-26
- 3.4 网络爬虫身份验证26-27
- 3.5 本章小结27-28
- 第4章 基于模糊测试的测试用例生成28-41
- 4.1 方法的提出28-30
- 4.1.1 SQL注入漏洞测试用例28-29
- 4.1.2 XSS漏洞测试用例29-30
- 4.1.3 提出测试用例生成方法30
- 4.2 方法的实现30-39
- 4.2.1 SQL注入漏洞测试用例拆分及模板库的建立30-33
- 4.2.2 XSS漏洞测试用例拆分及模板库的建立33-37
- 4.2.3 SQL注入漏洞测试用例模板组合37-38
- 4.2.4 XSS漏洞测试用例模板组合38-39
- 4.3 测试用例变异处理39-40
- 4.4 本章小结40-41
- 第5章 Web应用漏洞发掘系统设计与实现41-44
- 5.1 测试数据包发送与回收41
- 5.2 漏洞自动识别41-42
- 5.3 系统架构42-43
- 5.4 本章小结43-44
- 第6章 实验评估44-51
- 6.1 实验设置44-47
- 6.2 实验效果对比47-49
- 6.3 实验结果解释49
- 6.4 现实Web应用检测效果49-50
- 6.5 本章小结50-51
- 第7章 总结51-53
- 7.1 结论51
- 7.2 未来工作51-53
- 参考文献53-56
- 攻读学位期间发表论文与研究成果清单56-57
- 致谢57
【相似文献】
中国期刊全文数据库 前10条
1 叶碧云,刘青;基于Web技术的设备管理信息系统[J];洪都科技;2003年02期
2 何志勇 ,何绍荣;基于WEB的学生成绩管理系统[J];自贡师范高等专科学校学报;2003年04期
3 刘庆红;基于Web的综合教务管理信息系统的分析与设计[J];吉林省经济管理干部学院学报;2004年01期
4 贾志娟,胡明生;基于Web的答疑系统设计与实现[J];河南纺织高等专科学校学报;2004年03期
5 王斌,刘浙;基于Web的电力调度自动化系统的实现[J];计算机与现代化;2004年11期
6 尹健康,宋红文,朱伏平,杜祥兵;基于Web的设备管理信息系统设计与研究[J];西南科技大学学报(自然科学版);2004年03期
7 盛志伟,刘仕筠,刘双虎;基于Web的网络考试系统的设计与实现[J];计算机与现代化;2005年07期
8 耿道武;Web服务提供银行中间业务新形式[J];华南金融电脑;2005年08期
9 石建玲,印建平,葛敬霞,李红彦;基于Web设备管理信息系统中设备分类编码规则的研究[J];现代制造工程;2005年09期
10 尤超常;浅谈WEB数据挖掘[J];中国科技信息;2005年04期
中国重要会议论文全文数据库 前10条
1 黄海林;孙向阳;;基于Web的大学物理试题管理系统的设计[A];湖北省物理学会、武汉物理学会成立70周年庆典暨2002年学术年会论文集[C];2002年
2 于莉莉;张毅;;基于Web的人力资源管理系统研究与设计[A];2008全国制造业信息化标准化论坛论文集[C];2008年
3 李中华;;企业Web应用安全威胁与防护[A];创新·融合·发展——创新型煤炭企业发展与信息化高峰论坛论文集[C];2010年
4 刘兵;何新林;张伟;吴东峰;何小莲;;基于Web的奎屯河流域水库调度自动化系统研究[A];第三届全国水力学与水利信息学大会论文集[C];2007年
5 刘颖;;基于Web的学生信息管理系统的设计与实现[A];2008年计算机应用技术交流会论文集[C];2008年
6 张玉艳;黄国栋;冯文堂;侯金奎;;一种模型驱动的WEB报表系统开发方法[A];第二十七届中国控制会议论文集[C];2008年
7 李毅;顾健;顾铁军;;系统等级保护中的Web应用安全评估[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
8 叶良;刘富强;邓戈;赵忠;;基于WEB的数字视频监控系统开发[A];第十二届全国煤矿自动化学术年会论文专辑[C];2002年
9 刘岩;阎钦运;张刚;;基于WEB的企业人力资源管理系统的研究与实现[A];第十七届全国煤矿自动化学术年会、中国煤炭学会自动化专业委员会学术会议论文集[C];2007年
10 粟智;;基于Web技术下的分析实验室计算机网络管理系统的开发与设计[A];2003年药物分析论坛“热分析在药物分析中的应用”专题学术研讨会论文集[C];2003年
中国重要报纸全文数据库 前10条
1 本报记者 刘继安;准备好了吗?WEB教师[N];中国教育报;2001年
2 张承东;Web智能考核广告[N];网络世界;2009年
3 科讯;WEB教师——一个全新职业的透析[N];科技日报;2001年
4 王雅丽;博客社区齐上阵 银行借Web 2.0拉拢未来客户[N];中国计算机报;2008年
5 本报记者 黄智军;Web应用呼唤新型安全系统[N];计算机世界;2009年
6 居易;WEB教师热门起来[N];组织人事报;2001年
7 本报记者 赵晓涛;四问“Web防御与云安全”[N];网络世界;2008年
8 本报记者 徐恒;手机浏览器:竞争不断加剧 Web大势所趋[N];中国电子报;2009年
9 电脑商报记者 张戈;Web应用安全正当时[N];电脑商报;2010年
10 李晨;Web应用安全应贯穿生命周期[N];人民邮电;2009年
中国博士学位论文全文数据库 前10条
1 孙慧峰;基于协同过滤的个性化Web推荐[D];北京邮电大学;2012年
2 何儒汉;Web图像的多模融合检索研究[D];华中科技大学;2007年
3 张建武;面向Web应用的安全评测技术研究[D];北京邮电大学;2012年
4 龙慧云;基于进程代数的Web服务数据和组合的形式化方法研究[D];贵州大学;2009年
5 孙涛;面向市场情报分析的Web实体事件融合问题研究[D];山东大学;2014年
6 谢琪;基于协同过滤与QoS的个性化Web服务推荐研究[D];重庆大学;2012年
7 刘方方;Web服务合成与可用性的若干关键技术研究[D];复旦大学;2007年
8 刘晓光;网络化制造中Web服务自动组合的若干关键技术研究[D];上海交通大学;2008年
9 刘国奇;面向领域QoS约束的Web服务选取方法[D];东北大学;2011年
10 李杰;基于服务质量的Web服务模型及应用研究[D];中国科学院研究生院(计算技术研究所);2005年
,本文编号:1008695
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1008695.html
