Web漏洞挖掘与安全防护研究

发布时间：2017-04-25 17:23

  本文关键词：Web漏洞挖掘与安全防护研究，由笔耕文化传播整理发布。

【摘要】：随着Web技术的发展,越来越多的应用开始架设于Web平台之上,但Web安全形势却不容乐观,早在2014年乌云漏洞平台就公布了Web网站十大安全风险,其中包括SQL注入、跨站脚本攻击、未授权访问、系统逻辑错误带来的暴力破解等。目前Web站点的安全问题愈发突出,为了避免Web站点在互联网上存在的安全漏洞,为了减轻由于漏洞给Web站点带来的损失,使得对Web安全的研究有了更大的需求。通过对漏洞的挖掘可以了解Web程序在什么地方容易发生安全隐患,对容易发生安全隐患的地方进行深入分析,以便做出针对性的防护措施。本文的主要包含以下内容:(1)分析了Web站点容易发生安全问题的地方,深入分析了文件包含漏洞、注入漏洞、跨站漏洞、文件上传漏洞,用实例代码的形式分析产生漏洞的原因,在理解漏洞产生原理的基础上对Web漏洞进行挖掘,并给出解决建议。(2)从扫描技术入手,介绍了端口扫描与主机识别技术,并对网络爬虫的原理进行分析,给出一套爬虫爬行框架,在此基础了设计了一款可定制的开源Web扫描工具Auto HackScan,并给出了针对SVN源码泄漏的扫描插件与Payload编写,在实际测试过程中取得了良好的效果。(3)考虑到扫描器在漏洞挖掘过程中存在的局限性,转换角度,通过利用代码审计的方式来挖掘漏洞,介绍了代码审计的思路、方式,给出了文件包含漏洞、注入漏洞、跨站漏洞代码审计的实例内容,并对在代码审计中发现的问题给出解决建议。
【关键词】：Web安全 漏洞挖掘 漏洞扫描器 代码审计
【学位授予单位】：中北大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP393.08
【目录】：

• 摘要4-5
• Abstract5-10
• 1 绪论10-15
• 1.1 研究背景及意义10-11
• 1.2 课题在国内外发展动态11-13
• 1.3 研究内容13
• 1.4 论文结构13-15
• 2 Web安全分析与漏洞挖掘15-43
• 2.1 Web安全与漏洞简介15-17
• 2.1.1 Web安全简介15-16
• 2.1.2 漏洞简介16-17
• 2.2 文件包含漏洞17-23
• 2.2.1 本地文件包含漏洞分析与挖掘18-21
• 2.2.2 远程文件包含漏洞分析与挖掘21-23
• 2.3 注入漏洞23-31
• 2.3.1 基于布尔真假的盲注漏洞分析与挖掘26-30
• 2.3.2 基于延时的盲注漏洞分析与挖掘30-31
• 2.4 跨站漏洞31-34
• 2.4.1 反射型XSS漏洞分析与挖掘31-33
• 2.4.2 存储型XSS漏洞分析与挖掘33-34
• 2.5 文件上传漏洞34-38
• 2.5.1 IIS 6 解析漏洞分析与挖掘35-36
• 2.5.2 Apache文件解析漏洞分析与挖掘36-38
• 2.6 其他风险38-42
• 2.6.1 越权38-40
• 2.6.2 撞库40-41
• 2.6.3 SVN源码泄漏41-42
• 2.7 小结42-43
• 3 扫描器设计43-66
• 3.1 扫描技术43-47
• 3.1.1 端口扫描43-45
• 3.1.2 操作系统指纹识别45-47
• 3.2 超文本传输协议47-49
• 3.2.1 HTTP请求消息47-48
• 3.2.2 HTTP响应消息48-49
• 3.3 扫描器49-51
• 3.3.1 常见扫描器49-50
• 3.3.2 使用扫描器的必要性50-51
• 3.4 扫描器的设计准备51-58
• 3.4.1 Python语言51
• 3.4.2 扫描器工作原理51-53
• 3.4.3 爬虫模型53-58
• 3.5 扫描器的实现58-65
• 3.5.1 整体设计58-59
• 3.5.2 实现细节59-65
• 3.6 小结65-66
• 4 代码审计与安全建议66-86
• 4.1 审计思路66-72
• 4.2 文件包含漏洞审计与防护72-75
• 4.3 注入漏洞审计与防护75-79
• 4.4 跨站漏洞审计与防护79-85
• 4.5 小结85-86
• 5 总结与展望86-88
• 5.1 工作总结86
• 5.2 工作展望86-88
• 参考文献88-91
• 攻读硕士学位期间所取得的研究成果91-92
• 致谢92-93

【参考文献】

中国期刊全文数据库 前10条

1 赵星;;针对SQL注入的策略研究[J];山西电子技术;2016年02期

2 赵星;;网站暴力破解攻击及防御措施[J];山西电子技术;2016年01期

3 尚广明;;Nmap渗透测试指南[J];信息安全与通信保密;2015年11期

4 韦鲲鹏;葛志辉;杨波;;PHP Web应用程序上传漏洞的攻防研究[J];信息网络安全;2015年10期

5 雷惊鹏;沙有闯;;利用Kali Linux开展渗透测试[J];长春大学学报;2015年06期

6 ;数据安全再爆重磅炸弹12306数据泄露事件确认为撞库攻击[J];信息安全与通信保密;2015年01期

7 杜海章;方勇;;PHP webshell实时动态检测[J];网络安全技术与应用;2014年12期

8 安晓瑞;;ASP网站中asp一句话木马的安全性问题及防范措施的研究[J];首都师范大学学报(自然科学版);2014年01期

9 周开东;魏理豪;王甜;邹洪;崔磊;刘亚琼;;远程文件包含漏洞分级检测工具研究[J];计算机应用与软件;2014年02期

10 陈瑾;;试论端口扫描与检测技术[J];网络安全技术与应用;2013年12期

中国硕士学位论文全文数据库 前7条

1 尹彦涛;Web漏洞扫描系统设计与实现[D];中国海洋大学;2014年

2 林龙成;PHP Web应用程序开发中漏洞消减技术研究[D];南京师范大学;2014年

3 刘笑杭;SQL注入漏洞检测研究[D];杭州电子科技大学;2014年

4 姜洋;渗透测试关键技术研究[D];西安电子科技大学;2014年

5 邵鹏;基于渗透测试的跨站脚本漏洞检测研究[D];郑州大学;2013年

6 符泉麟;基于OWASP的WEB应用安全防范技术的研究[D];上海交通大学;2013年

7 曾楚枫;面向浏览器输入验证机制的JavaScript脆弱性检测[D];解放军信息工程大学;2012年

  本文关键词：Web漏洞挖掘与安全防护研究，，由笔耕文化传播整理发布。

本文编号：326717