基于Selenium的安全自动测试技术的研究与实现
本文关键词:基于Selenium的安全自动测试技术的研究与实现 出处:《广东工业大学》2015年硕士论文 论文类型:学位论文
更多相关文章: Selenium 测试自动化 网络爬虫 Web安全 安全测试
【摘要】:伴随着科学技术高速发展,互联网也迎来了一个最美好的时代。人们利用互联网从原来的单纯浏览信息到现在办理各项其他事情,越来越多的事务从线下转移到线上,无论是买车票、缴纳水电费或是购置其他商品,都可以在网上进行,互联网已经成为民众生活不可或缺的一部分,Web应用因此得到了一个爆发性的增长。然而Web应用之中存在的漏洞越来越多样化,使得安全测试工作难以支撑Web应用的发展。传统的安全测试是采用手工模拟攻击者的手段对Web安全进行渗透测试,而手工测试缺缺乏效率,而且人为产生的错误因素也经常会影响测试结果,不能确保测试结果的准确性。目前商用的自动化测试工具价格不菲,对于广大中小企业来说使用商用的自动化测试工具并不具有可操作性。本文分析与研究了基于Selenium的安全自动测试技术,Selenium是一个开源的工具,采用Selenium进行开发可以有效地降低测试成本。本文利用Selenium对当前主流的漏洞设计并实现了漏洞扫描功能,并发挥了Selenium的可拓展性的特点,从而设计出一款可用性高,具有良好性能的安全测试工具。它能够对Web应用进行自动化的安全测试,不仅可以在Web应用上线前进行安全测试,还能够在上线后进行测试,从而可以提前做好相应对策,减少损失。本文主要工作如下:1.分析当前Web应用的安全态势,对国内国外自动化测试的研究现状做了介绍,详细分析了当前Web应用所受到的安全威胁,并举出数据说明危害,说明开发一款能够进行自动化进行安全测试的系统的重要性。2.对Web应用当前存在的不同类型漏洞的特性进行分析,重点分析了SQL注入漏洞和XSS跨站漏洞的产生原因、检测方式以及防御方法等,并介绍了一些现阶段比较流行的自动化测试工具,包括本文使用的Selenium自动化测试工具。3.针对获取Web应用存在的漏洞信息,对HTTP协议、URL获取、网页内容获取、网页中表单的提取等等进行了相关研究,设计了能够对目标网站进行爬取并过滤构建URL的网络爬虫模块。4.在获取了网页信息之后,利用selenium测试目标的交互、可拓展性的特点,设计了SQL注入漏洞和XSS跨站漏洞的漏洞扫描模块,通过自动化的测试能够生成详细的测试报告。最后,通过搭建实验环境,对系统进行了功能测试和性能测试,验证了系统的可用性和可靠性。
[Abstract]:With the rapid development of science and technology, the Internet has also ushered in the most beautiful era. More and more business from offline to online, whether it is to buy tickets, pay utilities or other goods, can be carried out online, the Internet has become an indispensable part of people's lives. Web applications have thus achieved an explosive growth. However, the vulnerabilities in Web applications are becoming more and more diverse. It is difficult for security testing to support the development of Web application. The traditional security test uses manual simulation of attackers to conduct penetration testing of Web security, but manual testing is inefficient. And man-made error factors often affect the test results, can not ensure the accuracy of test results. At present, commercial automated testing tools are expensive. For the majority of small and medium-sized enterprises, the use of commercial automated testing tools is not operable. This paper analyzes and studies the security automatic testing technology based on Selenium. Selenium is an open source tool. Using Selenium to develop can effectively reduce the cost of testing. This paper uses Selenium to design and realize the vulnerability scanning function of the current mainstream vulnerabilities. The extensibility of Selenium is brought into play, and a security testing tool with high availability and good performance is designed. It can automate the security test of Web application. It can not only test the security before the Web application goes on line, but also test after going online, so that the corresponding countermeasures can be made in advance. The main work of this paper is as follows: 1. Analyze the security situation of current Web application and introduce the research status of automation test at home and abroad. The security threats to the current Web application are analyzed in detail, and the data are given to illustrate the harm. Explain the importance of developing a system that can automate security testing. 2. Analyze the characteristics of different types of vulnerabilities in Web applications. This paper mainly analyzes the cause of SQL injection vulnerability and XSS cross-site vulnerability, and introduces some popular automated testing tools at the present stage. Including the Selenium automated testing tool used in this paper. 3. In order to obtain the vulnerability information of the Web application, the HTTP protocol and the content of the web page are obtained. The extraction of forms from web pages and other related research, designed to crawl the target website and filter the construction of URL web crawler module. 4. After obtaining the page information. Taking advantage of the interaction and expansibility of selenium test target, the vulnerability scanning module of SQL injection vulnerability and XSS cross-site vulnerability is designed. In the end, the function test and performance test of the system are carried out to verify the availability and reliability of the system.
【学位授予单位】:广东工业大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【相似文献】
相关期刊论文 前10条
1 ;解析安全测试与渗透测试的区别[J];计算机与网络;2012年17期
2 汤文亮,丁振凡,汤飞;防火墙安全测试系统的研究与实现[J];华东交通大学学报;2002年03期
3 刘洋;;在线自学自测系统的安全测试与分析[J];网络安全技术与应用;2006年05期
4 陈威;季佳育;王刚;;如何做好信息系统上线前安全测试[J];华北电力技术;2011年12期
5 陈博;;安全测试保障网上银行安全[J];中国金融电脑;2012年08期
6 唐文;;协议安全测试在工业信息安全领域的应用[J];中国仪器仪表;2014年07期
7 王宏;曹文霞;;软件安全测试新武器——浅谈基于Dynamic Taint Propagation的测试技术[J];程序员;2008年05期
8 李剑;马国胜;;嵌入式电器安全测试平台的研究[J];电脑知识与技术;2010年15期
9 宁培一;;手机安全测试中的温升要求及试验简介[J];中国无线电;2010年05期
10 ;金融网络安全测试方案[J];电信网技术;2014年01期
相关会议论文 前3条
1 白哥乐;宫云战;杨朝红;;基于源码分析的软件安全测试工具综述[A];第五届中国测试学术会议论文集[C];2008年
2 唐云;钟力;何金勇;朱敏;;基于流量穿越的防火墙在线安全测试系统[A];全国计算机安全学术交流会论文集(第二十三卷)[C];2008年
3 方桂彬;漆涛;马跃;李洋;丁砾;;IMS中基于PROTOS的SIP协议安全测试方案研究[A];中国通信学会信息通信网络技术委员会2009年年会论文集(上册)[C];2009年
相关重要报纸文章 前10条
1 荣钰;更贴近现实的安全测试[N];网络世界;2009年
2 《网络世界》记者 蒙克;思博伦新一代安全测试方案 Avalanche NEXT感知应用[N];网络世界;2013年
3 本报记者 胡英;BreakingPoint推2到7层安全测试设备[N];计算机世界;2009年
4 袁卫平 陈志伟;NSS发布浏览器安全测试结果[N];人民邮电;2014年
5 ;安全测试人员发现VMware软件存在严重漏洞[N];网络世界;2008年
6 马;IPv6完成端到端安全测试[N];中国计算机报;2004年
7 洪金;3C只是空调市场通行证[N];中国企业报;2003年
8 董怀午;空调企业过了3C还须稳步前行[N];中国房地产报;2003年
9 王昆月;程序漏洞成黑帽大会关注点[N];计算机世界;2007年
10 著名经济评论人 叶檀;坚决支持中国发展转基因粮食[N];粮油市场报;2010年
相关博士学位论文 前1条
1 章志燮;基于构造类别代数的协议安全测试研究[D];中国科学技术大学;2009年
相关硕士学位论文 前8条
1 陈永慈;安全软件开发环境中安全测试工具的设计与实现[D];天津大学;2008年
2 温永利;无线网络结构分析与安全测试技术[D];国防科学技术大学;2007年
3 钟锋华;基于.NET网站的自动化安全测试工具研究与实现[D];中南大学;2007年
4 董文军;耐压泄漏安全测试及关键技术的研究[D];广东工业大学;2004年
5 田林林;基于PDA的Windows系统安全测试关键技术研究与实现[D];国防科学技术大学;2009年
6 罗明宇;基于Selenium的安全自动测试技术的研究与实现[D];广东工业大学;2015年
7 严仍友;嵌入式的电器安全测试平台研究[D];广东工业大学;2005年
8 雷炜;基于FSM模型检验的安全测试技术研究[D];广东工业大学;2013年
,本文编号:1435492
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1435492.html
