Web应用程序跨站脚本漏洞检测技术研究与实现
发布时间:2021-05-11 19:53
近年来,伴随着Web应用技术飞速的发展与进步,其强大的功能使人们的工作效率得到了极大的提高,受到了越来越多开发者与用户的喜爱,但也随之引起了各类Web安全隐患,使人们的个人信息和财产安全受到了严重的威胁。其中,跨站脚本攻击是众多Web安全漏洞中最具有影响力和危害性的攻击手段之一。然而现有的跨站脚本漏洞检测技术还不够完善,存在着检测效率较低,漏报率、误报率较高等问题,仍需对其开展进一步的研究。本文针对跨站脚本漏洞的研究现状、检测原理和实现技术进行了深入的研究与分析,主要完成以下几方面的工作:首先,对Web应用程序中常见的过滤机制以及现有跨站脚本攻击向量结构进行了大量的研究,提出一种自动化生成攻击向量与合法向量的策略以绕过过滤模块。针对攻击向量,首先根据基本符号集、备选元素库以及攻击向量组合模型生成初始基本攻击向量,然后通过变换规则集对其进行各种变换、转置处理,使最终生成的攻击向量更加全面、复杂、有效;针对合法向量,提出基于表单输入点相关信息自动生成最佳的合法向量,合法向量与攻击向量共同组成了攻击阶段中的测试数据。其次,优化了爬虫技术,提出基于Headless浏览器的网络爬虫。针对传统静态...
【文章来源】:江南大学江苏省 211工程院校 教育部直属院校
【文章页数】:63 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第一章 绪论
1.1 研究背景及意义
1.2 国内外研究现状
1.2.1 当前跨站脚本攻击的防御措施
1.2.2 当前跨站脚本漏洞的检测方法
1.2.3 存在的问题
1.3 主要研究内容
1.4 论文组织结构
第二章 跨站脚本相关知识
2.1 跨站脚本漏洞简介
2.1.1 跨站脚本攻击原理
2.1.2 跨站脚本漏洞分类
2.1.3 新浪微博漏洞实例
2.2 渗透测试
2.2.1 白盒测试
2.2.2 隐秘测试
2.2.3 黑盒测试
2.2.4 黑盒测试检测跨站脚本漏洞
2.3 本章小结
第三章 攻击向量与合法向量的生成策略
3.1 Web应用程序的过滤机制
3.2 代码混淆
3.3 攻击向量
3.3.1 种子攻击向量
3.3.2 攻击向量的组合结构
3.3.3 攻击向量的分类
3.3.4 攻击向量的生成
3.4 合法向量
3.5 本章小结
第四章 跨站脚本漏洞检测模型的设计
4.1 基于Gearman的分布式系统架构
4.1.1 Gearman的工作原理与运行机制
4.1.2 系统整体结构
4.1.3 检测流程
4.2 漏洞注入点分析
4.2.1 基于Headless浏览器的网络爬虫
4.2.2 页面解析
4.3 攻击与分析模块
4.4 二次遍历模块
4.5 系统界面设计
4.6 本章小结
第五章 实验设计与结果分析
5.1 实验环境和评估指标
5.1.1 实验环境
5.1.2 评估指标
5.2 实验与分析
5.3 本章小结
主要结论与展望
主要结论
展望
致谢
参考文献
附录:作者在攻读硕士学位期间发表的论文
【参考文献】:
期刊论文
[1]跨站脚本漏洞渗透测试技术[J]. 王丹,顾明昌,赵文兵. 哈尔滨工程大学学报. 2017(11)
[2]一种基于序列最小优化算法的跨站脚本漏洞检测技术[J]. 黄娜娜,万良,邓烜堃,易辉凡. 信息网络安全. 2017(10)
[3]Web应用常见注入式安全漏洞检测关键技术综述[J]. 王丹,赵文兵,丁治明. 北京工业大学学报. 2016(12)
[4]HTML5新特性安全研究综述[J]. 张玉清,贾岩,雷柯楠,吕少卿,乐洪舟. 计算机研究与发展. 2016(10)
[5]基于模糊测试和遗传算法的XSS漏洞挖掘[J]. 程诚,周彦晖. 计算机科学. 2016(S1)
[6]一种基于优先级的迭代划分测试方法[J]. 章晓芳,章宗长,谢晓园,周谊成. 计算机学报. 2016(11)
[7]一种跨站脚本的检测方法[J]. 余学永,江国华. 小型微型计算机系统. 2015(08)
[8]Flash跨站脚本漏洞挖掘技术研究[J]. 刘奇旭,温涛,闻观行. 计算机研究与发展. 2014(07)
[9]基于特征策略的XSS漏洞检测技术研究[J]. 王春东,邱晓华. 天津理工大学学报. 2013(05)
[10]网络安全渗透测试研究[J]. 常艳,王冠. 信息网络安全. 2012(11)
硕士论文
[1]基于HTML5的跨站脚本攻击检测技术研究与实现[D]. 吴柳.北京邮电大学 2017
[2]基于动态分析的XSS漏洞检测方法研究[D]. 李佩佩.华中科技大学 2016
[3]基于网络爬虫的XSS漏洞检测系统的研究与设计[D]. 牛皓.北京邮电大学 2015
[4]基于网络爬虫的网络漏洞扫描检测系统的设计与实现[D]. 肖征.吉林大学 2014
[5]基于Gearman/MongoDB的非金融交易监控报警系统的研究和实现[D]. 宋益泉.电子科技大学 2013
[6]基于渗透测试的跨站脚本漏洞检测研究[D]. 邵鹏.郑州大学 2013
[7]基于网络爬虫的跨站脚本漏洞动态检测技术研究[D]. 赵艳.西南交通大学 2011
本文编号:3182009
【文章来源】:江南大学江苏省 211工程院校 教育部直属院校
【文章页数】:63 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第一章 绪论
1.1 研究背景及意义
1.2 国内外研究现状
1.2.1 当前跨站脚本攻击的防御措施
1.2.2 当前跨站脚本漏洞的检测方法
1.2.3 存在的问题
1.3 主要研究内容
1.4 论文组织结构
第二章 跨站脚本相关知识
2.1 跨站脚本漏洞简介
2.1.1 跨站脚本攻击原理
2.1.2 跨站脚本漏洞分类
2.1.3 新浪微博漏洞实例
2.2 渗透测试
2.2.1 白盒测试
2.2.2 隐秘测试
2.2.3 黑盒测试
2.2.4 黑盒测试检测跨站脚本漏洞
2.3 本章小结
第三章 攻击向量与合法向量的生成策略
3.1 Web应用程序的过滤机制
3.2 代码混淆
3.3 攻击向量
3.3.1 种子攻击向量
3.3.2 攻击向量的组合结构
3.3.3 攻击向量的分类
3.3.4 攻击向量的生成
3.4 合法向量
3.5 本章小结
第四章 跨站脚本漏洞检测模型的设计
4.1 基于Gearman的分布式系统架构
4.1.1 Gearman的工作原理与运行机制
4.1.2 系统整体结构
4.1.3 检测流程
4.2 漏洞注入点分析
4.2.1 基于Headless浏览器的网络爬虫
4.2.2 页面解析
4.3 攻击与分析模块
4.4 二次遍历模块
4.5 系统界面设计
4.6 本章小结
第五章 实验设计与结果分析
5.1 实验环境和评估指标
5.1.1 实验环境
5.1.2 评估指标
5.2 实验与分析
5.3 本章小结
主要结论与展望
主要结论
展望
致谢
参考文献
附录:作者在攻读硕士学位期间发表的论文
【参考文献】:
期刊论文
[1]跨站脚本漏洞渗透测试技术[J]. 王丹,顾明昌,赵文兵. 哈尔滨工程大学学报. 2017(11)
[2]一种基于序列最小优化算法的跨站脚本漏洞检测技术[J]. 黄娜娜,万良,邓烜堃,易辉凡. 信息网络安全. 2017(10)
[3]Web应用常见注入式安全漏洞检测关键技术综述[J]. 王丹,赵文兵,丁治明. 北京工业大学学报. 2016(12)
[4]HTML5新特性安全研究综述[J]. 张玉清,贾岩,雷柯楠,吕少卿,乐洪舟. 计算机研究与发展. 2016(10)
[5]基于模糊测试和遗传算法的XSS漏洞挖掘[J]. 程诚,周彦晖. 计算机科学. 2016(S1)
[6]一种基于优先级的迭代划分测试方法[J]. 章晓芳,章宗长,谢晓园,周谊成. 计算机学报. 2016(11)
[7]一种跨站脚本的检测方法[J]. 余学永,江国华. 小型微型计算机系统. 2015(08)
[8]Flash跨站脚本漏洞挖掘技术研究[J]. 刘奇旭,温涛,闻观行. 计算机研究与发展. 2014(07)
[9]基于特征策略的XSS漏洞检测技术研究[J]. 王春东,邱晓华. 天津理工大学学报. 2013(05)
[10]网络安全渗透测试研究[J]. 常艳,王冠. 信息网络安全. 2012(11)
硕士论文
[1]基于HTML5的跨站脚本攻击检测技术研究与实现[D]. 吴柳.北京邮电大学 2017
[2]基于动态分析的XSS漏洞检测方法研究[D]. 李佩佩.华中科技大学 2016
[3]基于网络爬虫的XSS漏洞检测系统的研究与设计[D]. 牛皓.北京邮电大学 2015
[4]基于网络爬虫的网络漏洞扫描检测系统的设计与实现[D]. 肖征.吉林大学 2014
[5]基于Gearman/MongoDB的非金融交易监控报警系统的研究和实现[D]. 宋益泉.电子科技大学 2013
[6]基于渗透测试的跨站脚本漏洞检测研究[D]. 邵鹏.郑州大学 2013
[7]基于网络爬虫的跨站脚本漏洞动态检测技术研究[D]. 赵艳.西南交通大学 2011
本文编号:3182009
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3182009.html
