Web应用的漏洞检测与防范技术研究

发布时间：2018-01-05 03:05

本文关键词：Web应用的漏洞检测与防范技术研究　出处：《中国矿业大学》2015年硕士论文　论文类型：学位论文

【摘要】：随着互联网技术的不断发展,基于Web的应用日益增多,例如:网上商城、网上银行等,Web应用具有成本低、使用方便等优点。当前,企业、政府、学校的很多办公系统都建立在Web应用程序之上,这些系统中往往存储着重要的数据,如个人信息、单位保密信息等,因此,系统的安全性是非常重要的。由于Web应用的开放性,使得它更加容易受到黑客的攻击,它很难受到传统防火墙的保护。网络安全问题日益突出,越来越多的站点受到攻击,其根本原因是Web应用程序中存在着漏洞,Web漏洞有很多种,危害对象可以是服务器端也可以是客户端,本文主要对跨站脚本请求(XSS)漏洞和跨站请求伪造(CSRF)漏洞进行研究,这两种漏洞都是基于客户端的漏洞,影响范围广,受害者难以察觉。本文首先概述了XSS和CSRF漏洞的相关知识,包括WEB应用的相关技术,详细分析了XSS和CSRF漏洞的原理、分类、危害以及攻击技巧。在以上的基础上,重点研究了XSS和CSRF漏洞的检测方法和防御方法。在XSS漏洞方面,本文分析了XSS漏洞的检测方法的原理,包括静态检测方法和动态检测方法,结合现有的检测方法分析了它们的优缺点,针对现有检测方法的不足,提出了一种改进的XSS漏洞检测方法。该方法的原理是模拟攻击者对目标站点发起攻击的过程:先用合法向量测试,排除肯定不存在Reflected XSS漏洞的页面,并收集输入点、输出点页面和输出点类型等信息,再用攻击向量进一步测试,通过实验证明了该方法的有效性,不仅提高了XSS漏洞的检测效率,还可以检测Stored XSS漏洞。另外,本文研究了XSS漏洞的防范方法,并分析了各种防范方法的原理和优缺点。在CSRF漏洞方面,本文分析了CSRF漏洞的检测方法和现有检测工具的原理,针对现有检测工具的不足,提出了一种改进的CSRF漏洞检测方法,主要原理是分析请求包中是否有防御特征信息,通过实验证明了该方法的有效性,能够提高CSRF漏洞的检测正确率。另外,本文介绍了CSRF漏洞的防范方法并分析了各种防范方法的优缺点。
[Abstract]:With the development of Internet technology , Web - based applications are increasingly more and more , such as online mall , online banking , etc . Many of the office systems of enterprises , governments and schools have been built on Web applications . In this paper , we study the method of preventing the vulnerability of CSRF , and analyze the principles and advantages and disadvantages of the methods . In the aspect of CSRF , this paper analyzes the detection methods of CSRF vulnerabilities and the principle of the existing detection tools . In view of the shortcomings of the existing detection tools , a modified CSRF vulnerability detection method is proposed . The main principle is to analyze the effectiveness of the method and to improve the detection accuracy of CSRF vulnerabilities . In addition , this paper introduces the prevention methods of CSRF vulnerabilities and analyzes the advantages and disadvantages of the methods .

【学位授予单位】：中国矿业大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08

【参考文献】