基于web应用模型的二阶SQL注入测试用例集生成
发布时间:2021-09-23 08:13
Web应用在当今社会的各个领域被广泛使用,虽然它为人们的生活带来了巨大的便利,但同时也带来了许多安全隐患。SQL注入漏洞一直以来都是威胁web应用安全的主要问题之一,其中的二阶SQL注入漏洞相较于一阶SQL注入更加隐蔽而且威胁更大,对其检测通常依赖于测试人员的先验知识与经验。目前针对二阶SQL注入漏洞现有检测方法具有使用环境受限和检测效率低下等问题。为了解决这些问题本文提出了基于web应用客户端行为模型的二阶SQL注入测试用例集生成方法,主要研究内容如下:1、对二阶SQL注入漏洞结构和形成原理进行了详细分析,给出了客户端行为模型定义,建立了客户端行为模型与web应用测试用例之间的关系,为后续研究打下基础。2、定义了迁移Topo图,用以描述导致测试用例集触发漏洞的迁移应满足的执行顺序和关系,并提出了一种基于运行时检测技术的Topo图生成方法。该方法首先生成初始测试用例集并执行,以得到迁移与SQL语句之间的映射关系,然后通过分析SQL语句之间的依赖关系来生成Topo图。3、提出了基于Topo图的测试序列生成算法。为保证测试用例中攻击向量的多样性,设计了巴科斯范式表示的攻击向量自动化生成规则...
【文章来源】:北京化工大学北京市 211工程院校 教育部直属院校
【文章页数】:79 页
【学位级别】:硕士
【部分图文】:
图2-2?—阶SQL注入漏洞与二阶SQL注入漏洞??Fig.2-2?first-order?and?second-order?SQLIV??
?第二章相关理论与技术???表示在触发事件时进行当前的状态转移必须要满足的条件,ad则表示触发事件??之后web应用所产生的DOM操作等行为。在迁移具有输入时,eve?/还可以表不为??eve扣(邮wf/加),表示当前eve?f需要输入一组变量邮w/fcZ。??web应用CBM模型的建立在文献[14]中有详细描述,如图2-3所示,展示了一个??简单的CBM模型,其中每一个节点表示一个S中的状态,有向边//表示r中的一个??迁移,为了表述方便图中隐去了6的细节。??^tart)???图2-3?CBM模型??Fig.2-3?CBM?Model??2.2.2基于模型的测试用例??在针对web应用的自动化测试领域,测试用例通常是指一系列的用户操作的集合。??输入框?l?厂??fN?.?f?按钮?4?'??按钮1?按钮2??^rip?:0XG]...:li?I?'?v?ntinv-r.-r-r:---!^?V,;t:-nf??图2-4?web应用页面示例??Fig.2-4?web?page?example??17??
?第二章相关理论与技术???表示在触发事件时进行当前的状态转移必须要满足的条件,ad则表示触发事件??之后web应用所产生的DOM操作等行为。在迁移具有输入时,eve?/还可以表不为??eve扣(邮wf/加),表示当前eve?f需要输入一组变量邮w/fcZ。??web应用CBM模型的建立在文献[14]中有详细描述,如图2-3所示,展示了一个??简单的CBM模型,其中每一个节点表示一个S中的状态,有向边//表示r中的一个??迁移,为了表述方便图中隐去了6的细节。??^tart)???图2-3?CBM模型??Fig.2-3?CBM?Model??2.2.2基于模型的测试用例??在针对web应用的自动化测试领域,测试用例通常是指一系列的用户操作的集合。??输入框?l?厂??fN?.?f?按钮?4?'??按钮1?按钮2??^rip?:0XG]...:li?I?'?v?ntinv-r.-r-r:---!^?V,;t:-nf??图2-4?web应用页面示例??Fig.2-4?web?page?example??17??
【参考文献】:
期刊论文
[1]Behavior Model Construction for Client Side of Modern Web Applications[J]. Weiwei Wang,Junxia Guo,Zheng Li,Ruilian Zhao. Tsinghua Science and Technology. 2021(01)
硕士论文
[1]多功能SQL注入检测系统的实现及攻击防范方法研究[D]. 刘合叶.北京交通大学 2009
[2]基于网络爬虫的SQL注入与XSS漏洞挖掘[D]. 沈寿忠.西安电子科技大学 2009
本文编号:3405357
【文章来源】:北京化工大学北京市 211工程院校 教育部直属院校
【文章页数】:79 页
【学位级别】:硕士
【部分图文】:
图2-2?—阶SQL注入漏洞与二阶SQL注入漏洞??Fig.2-2?first-order?and?second-order?SQLIV??
?第二章相关理论与技术???表示在触发事件时进行当前的状态转移必须要满足的条件,ad则表示触发事件??之后web应用所产生的DOM操作等行为。在迁移具有输入时,eve?/还可以表不为??eve扣(邮wf/加),表示当前eve?f需要输入一组变量邮w/fcZ。??web应用CBM模型的建立在文献[14]中有详细描述,如图2-3所示,展示了一个??简单的CBM模型,其中每一个节点表示一个S中的状态,有向边//表示r中的一个??迁移,为了表述方便图中隐去了6的细节。??^tart)???图2-3?CBM模型??Fig.2-3?CBM?Model??2.2.2基于模型的测试用例??在针对web应用的自动化测试领域,测试用例通常是指一系列的用户操作的集合。??输入框?l?厂??fN?.?f?按钮?4?'??按钮1?按钮2??^rip?:0XG]...:li?I?'?v?ntinv-r.-r-r:---!^?V,;t:-nf??图2-4?web应用页面示例??Fig.2-4?web?page?example??17??
?第二章相关理论与技术???表示在触发事件时进行当前的状态转移必须要满足的条件,ad则表示触发事件??之后web应用所产生的DOM操作等行为。在迁移具有输入时,eve?/还可以表不为??eve扣(邮wf/加),表示当前eve?f需要输入一组变量邮w/fcZ。??web应用CBM模型的建立在文献[14]中有详细描述,如图2-3所示,展示了一个??简单的CBM模型,其中每一个节点表示一个S中的状态,有向边//表示r中的一个??迁移,为了表述方便图中隐去了6的细节。??^tart)???图2-3?CBM模型??Fig.2-3?CBM?Model??2.2.2基于模型的测试用例??在针对web应用的自动化测试领域,测试用例通常是指一系列的用户操作的集合。??输入框?l?厂??fN?.?f?按钮?4?'??按钮1?按钮2??^rip?:0XG]...:li?I?'?v?ntinv-r.-r-r:---!^?V,;t:-nf??图2-4?web应用页面示例??Fig.2-4?web?page?example??17??
【参考文献】:
期刊论文
[1]Behavior Model Construction for Client Side of Modern Web Applications[J]. Weiwei Wang,Junxia Guo,Zheng Li,Ruilian Zhao. Tsinghua Science and Technology. 2021(01)
硕士论文
[1]多功能SQL注入检测系统的实现及攻击防范方法研究[D]. 刘合叶.北京交通大学 2009
[2]基于网络爬虫的SQL注入与XSS漏洞挖掘[D]. 沈寿忠.西安电子科技大学 2009
本文编号:3405357
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3405357.html
