基于改进模糊测试的Web漏洞挖掘算法研究

发布时间：2020-06-04 16:17

【摘要】：如今,随着Web技术的高速发展和互联网的大众化,使得Web应用程序已经成为黑客攻击的主要目标,由Web应用程序的安全问题所引发的财产损失数以亿计。因此,设计一套漏洞误报率和漏报率低,且检测准确率和稳定性高的Web漏洞挖掘机制,并有效扫描出待测Web应用程序中的安全漏洞,从而降低Web应用系统受到网络攻击的概率,具有十分重要的理论意义和实用价值。本文的研究内容为模糊测试技术在Web漏洞挖掘领域中的应用,并对模糊测试技术当前存在的不足之处进行了改进。在本文的主要研究工作包括以下两个方面:(1)本文对传统模糊测试技术中网络爬虫模块的不足进行了分析,针对爬取覆盖率低的问题,设计了基于页面状态的网络爬虫算法来提升模糊测试技术中漏洞测试点的有效性。该算法首先对目标Web应用程序进行建模,通过对页面模型进行分类和筛选来避免网络爬虫爬取具有相似结构的URL以及表单注入点,并防止陷入爬取死循环。通过尝试改变目标页面的状态,网络爬虫可以获取到相同页面下更多的漏洞测试点。实验结果表明,利用基于页面状态的网络爬虫可以有效提升模糊测试技术的测试覆盖率。(2)针对当前模糊测试技术中测试用例生成步骤所存在的问题,引入了遗传算法来对模糊测试技术进行改进。本文所实现的算法首先采用格雷码对测试用例个体进行基因编码,并利用本文所设计的适应度函数来对进化结果进行筛选和过滤,通过对种群个体进行选择、自适应交叉和自适应变异,实现了对测试用例的优化。实验结果表明,本文所设计的方法能够提升测试用例种群中个体的平均适应度,并通过提升测试用例的攻击性来降低漏洞扫描的漏报率和误报率。
【图文】：

中国网

且其中有６８％的中国网民认为自身比较或非常依赖互联网。在２０１７年全年的网络安全逡逑事件中个人信息泄露问题占比最高，达到了邋２７．１％。到２０１７年１２月为止，，中国网站逡逑数量为５３３万个，年增长率为１０．６％。中国网站数量增长状况调查结果如图１－１所示：逡逑中国网站数量逡逑万个逡逑５３３逡逑４８２逡逑３３５邋Ｈ邋Ｈ逡逑ＩＶ邋■邋ｒ＇．…ｆｆ逦■逡逑Ｌ煖：：逡逑２０１１逦２０１２逦２０１３逦２０１４逦２０１５逦２０１６逦２０１７逡逑来源：ＧＮＳＩＩ［中匪联网络发麒~=ｉｉ？查逦２０１７１２逡逑图１－１中国网站数量增长状况调查结果逡逑Ｆｉｇ．邋１－１邋Ｓｕｒｖｅｙ邋ｒｅｓｕｌｔｓ邋ｏｆ邋ｔｈｅ邋ｇｒｏｗｔｈ邋ｏｆ邋Ｃｈｉｎｅｓｅ邋ｗｅｂｓｉｔｅｓ逡逑由此可见，Ｗｅｂ应用程序已经逐渐融入到了人们的日常生活之中，并正在慢慢改变逡逑人们的生活方式。正如之前所介绍的那样，Ｗｅｂ应用程序由于其具有两面性，因此当逡逑Ｗｅｂ应用程序在发挥其正面作用的同时，其中存在的各种安全漏洞也可能导致Ｗｅｂ应逡逑用程序遭受网络犯罪分子的攻击，从而影响经济发展和社会稳定［１Ｑ］。逡逑另外，随着网络安全问题的影响力逐渐增大，越来越多的安全厂商也在不断完善主逡逑机操作系统和网络系统的安全架构。目前，绝大多数组织都会在自己的网络边界部署硬逡逑件／软件防火墙、入侵防御系统（ＩＤＳ）和入侵检测系统（ＩＰＳ）等安全设备

流程图,流程,数据库,漏洞

如果Ｗｅｂ应用管理员较少查看Ｉｎｔｅｒｎｅｔ信息服务（ＩＩＳ）日志，那么即使ＳＱＬ逡逑注入很长一段时间，管理员都不会察觉，从而使Ｗｅｂ应用在长时间内遭受ＳＱＬ注入攻逡逑击。ＳＱＬ注入攻击流程如图２－６所不：逡逑缺少对输入的合逡逑法性判断逡逑ｐ－构诖特殊数据库ａ靡ｉｆ！句—＾逦－动态数裾库逡逑７逦ｗｄＴ服务器逦数据库逡逑攻由＇者逦ｓ邋、逦Ｚ邋★、逦，逡逑￣获得数据库信息＾逦返回数据库信息￣逡逑、匆／公逡逑＇－＇ｈ逦－入ｇ械坏夕修改数据Ｎｙ逡逑后台管ａ员逦ｙ逡逑图２－６邋ＳＱＬ注入攻击流程逡逑Ｆｉｇ．邋２－６邋ＳＱＬ邋ｉｎｊｅｃｔｉｏｎ邋ａｔｔａｃｋ邋ｆｌｏｗ逡逑２．４．２邋ＳＱＬ注入的危害逡逑ＳＱＬ注入漏洞存在的危害有很多，最直接的一个危害就是会导致服务器的数据库信逡逑息泄露。如果攻击者成功通过漏洞查询了数据库，数据库中存放的用户隐私信息就会被逡逑泄露，而这些隐私信息很可能成为不法分子对用户骚扰、诈骗的依据。如果黑客可以执逡逑行数据库指纹，就可以修改数据库类，从而篡改Ｗｅｂ应用程序的网页内容。更严重的，逡逑
【学位授予单位】：广西大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08

【相似文献】