Web应用系统漏洞定位技术研究与实现
本文关键词:Web应用系统漏洞定位技术研究与实现,由笔耕文化传播整理发布。
【摘要】:SQL注入攻击和XSS跨站脚本攻击是Web应用系统面临的最严重的安全问题,轻则导致数据丢失、数据破坏或拒绝服务,重则主机被完全接管、系统瘫痪,因此对其检测问题研究具有重要的现实意义。模糊测试是一种基于缺陷注入的自动或半自动化的漏洞挖掘技术,它通过向目标(如文件格式、网络协议、API等)提供大量半有效的数据作为输入并监测程序是否出现异常,以此发现Web应用系统中潜在的安全漏洞。动态污点分析是一种数据流跟踪技术,通过标记和跟踪数据随在程序运行中的传播过程,找出目的数据结果和源数据之间的依赖关系。本文研究常见的Web应用系统漏洞检测方法,并分析基于黑盒测试的扫描器和基于白盒测试的代码审计工具特点,扫描器检测速度快却不能定位漏洞产生的具体代码,代码审计工具能定位产生漏洞代码却因要分析所有的源代码而耗费大量时间,进而提出一种基于模糊测试和动态污点分析技术的Web应用系统漏洞定位方法,设计系统原型并进行实验验证和测试。本文的主要工作如下:(1)分析SQL注入漏洞及XSS漏洞的产生原因、分类、危害、预防及检测方式。归纳分析SQL注入及XSS跨站脚本的攻击方式,设计攻击向量库。(2)提出一种基于模糊测试和动态污点分析技术的Web应用系统漏洞定位方法。该方法在模糊测试阶段快速得到存在SQL注入及XSS漏洞的注入点,动态污点分析阶段通过跟踪这些注入点的数据在程序中的传播过程,得到SQL注入及XSS漏洞在程序中从注入点到陷入点的全过程,完成对漏洞的定位。(3)研究动念污点分析的原理及过程,并将其用于SQL注入及XSS漏洞的定位。在源代码级别实现动态污点数据的标记、跟踪及检测,设计基于高级语言的污点传播规则。(4)针对提出的基于模糊测试和动态污点分析的漏洞定位方法,设计检测定位SQL注入漏洞和XSS跨站脚本漏洞的系统框架WebPOS,并实现漏洞定位系统原型。本文的创新点主要体现在以下几个方面:(1)提出了一种基于模糊测试和动态污点分析技术的Web应用系统的漏洞定位方法,实验证明有较低的误报率和较小的时间开销。(2)实现基于源代码级别的动态污点分析,设计了基于高级语言的污点传播规则并给出了实现算法,运行时开销小,速度快。(3)运用Java编程技术,设计并实现了用于检测定位SQL注入漏洞和XSS跨站脚本漏洞的系统原型WebPOS。
【关键词】:SQL注入 XSS跨站脚本 模糊测试 动态污点分析 漏洞定位
【学位授予单位】:广东工业大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
- 摘要4-6
- ABSTRACT6-8
- 目录8-11
- CONTENTS11-14
- 第一章 绪论14-20
- 1.1 研究背景和意义14-15
- 1.2 国内外研究现状15-17
- 1.3 Web应用系统介绍17-18
- 1.4 论文的研究内容18
- 1.5 论文的结构18-20
- 第二章 Web应用系统安全相关技术分析20-39
- 2.1 Web应用漏洞概述20-21
- 2.1.1 Web应用系统漏洞概念20
- 2.1.2 Web应用系统漏洞产生原因20
- 2.1.3 Web应用安全漏洞分类20-21
- 2.2 Web应用漏洞检测工具介绍21-24
- 2.2.1 扫描工具21-22
- 2.2.2 代码审计工具22-24
- 2.3 模糊测试24-27
- 2.3.1 模糊测试定义24
- 2.3.2 模糊测试过程24-25
- 2.3.3 模糊测试方法25-26
- 2.3.4 模糊测试对象26-27
- 2.4 动态污点分析技术27-31
- 2.4.1 动态污点分析过程27-28
- 2.4.2 动态污点分析实现28-31
- 2.5 SQL注入漏洞31-35
- 2.5.1 SQL注入漏洞成因31
- 2.5.2 SQL注入漏洞分类31-33
- 2.5.3 SQL注入漏洞危害33
- 2.5.4 SQL注入漏洞防御方法33-34
- 2.5.5 SQL注入漏洞检测方法34-35
- 2.6 XSS跨站脚本漏洞35-38
- 2.6.1 XSS漏洞成因35
- 2.6.2 XSS漏洞分类35-37
- 2.6.3 XSS漏洞危害37-38
- 2.6.4 XSS漏洞防御方法38
- 2.6.5 XSS漏洞检测方法38
- 2.7 本章小结38-39
- 第三章 基于Fuzzing与动态污点的漏洞定位方法研究39-46
- 3.1 漏洞定位方法概述39-41
- 3.1.1 漏洞定位方法框架39-40
- 3.1.2 漏洞定位方法流程40-41
- 3.2 主要算法描述41-45
- 3.2.1 污染传播算法41-44
- 3.2.2 漏洞定位算法44-45
- 3.3 本章小结45-46
- 第四章 基于Fuzzing与动态污点的漏洞定位方法的实现46-67
- 4.1 爬虫模块46-50
- 4.1.1 爬虫模块设计46-47
- 4.1.2 爬虫模块实现47-50
- 4.2 Fuzzing测试模块50-58
- 4.2.1 SQL注入攻击向量库设计50
- 4.2.2 XSS攻击向量库设计50-53
- 4.2.3 Fuzzing模块设计53-55
- 4.2.4 Fuzzing模块实现55-58
- 4.3 污点标记模块58-61
- 4.3.1 标记模块设计58-59
- 4.3.2 标记模块实现59-61
- 4.4 污点传播模块61-66
- 4.4.1 污点传播规则定义61-64
- 4.4.2 污点传播记录实现64-66
- 4.5 污点检测模块66
- 4.6 本章小结66-67
- 第五章 实验与结果分析67-75
- 5.1 实验环境67
- 5.2 实验过程67-68
- 5.3 实验结果及分析68-74
- 5.3.1 时间复杂度分析68-70
- 5.3.2 误报率分析70-72
- 5.3.3 漏报率分析72-74
- 5.4 本章小结74-75
- 总结与展望75-77
- 参考文献77-81
- 攻读硕士学位期间发表的论文及著作权81-83
- 致谢#@@
【相似文献】
中国期刊全文数据库 前10条
1 杜骏震;动态Web应用系统的数据库接口技术[J];山西电子技术;2000年06期
2 王健;杨柳松;;基于用户组角色的数字林业Web应用系统权限设计[J];东北林业大学学报;2008年08期
3 翁雷雷;蔡皖东;姚烨;;Web应用系统负载测试加压策略研究[J];计算机应用;2012年10期
4 贾树生;;WEB应用系统中权限管理验证类的设计与应用[J];石家庄职业技术学院学报;2013年02期
5 彭阳初;基于COM组件技术的多层Web应用系统的开发[J];信阳师范学院学报(自然科学版);2004年02期
6 吴丽娟;;浅析Web应用系统的安全及防护策略[J];信息安全与技术;2011年07期
7 张霞;丁晓明;;Web应用系统可伸缩性度量方法的研究[J];科学技术与工程;2010年04期
8 翁志宁;;基于Ajax框架WEB应用系统研究与设计[J];科技风;2012年06期
9 许诺;;基于Web应用系统测试技术研究[J];信息与电脑(理论版);2013年10期
10 张国和;徐骏善;;Web应用系统的安全性设计[J];微型机与应用;2010年21期
中国重要会议论文全文数据库 前5条
1 黄德生;刘先锋;刘卫东;王诚;;基于中间件的WEB应用系统[A];全国第十四届计算机科学及其在仪器仪表中的应用学术交流会论文集[C];2001年
2 李茂鑫;;小型Web应用系统架构分析与性能优化[A];2008年计算机应用技术交流会论文集[C];2008年
3 俞嘉地;潘煜;;分布式Web应用系统的结构[A];全国第十四届计算机科学及其在仪器仪表中的应用学术交流会论文集[C];2001年
4 侯金奎;万建成;王帅强;;一种模型驱动的Web应用系统开发方法[A];第四届中国软件工程大会论文集[C];2007年
5 欧歌;张红梅;宋黎明;;B/S结构Web应用系统测试综述[A];第13届全国计算机、网络在现代科学技术领域的应用学术会议论文集[C];2007年
中国硕士学位论文全文数据库 前10条
1 张莹莹;Web应用系统漏洞定位技术研究与实现[D];广东工业大学;2015年
2 李玮越;面向软件老化的Web应用系统分级再生策略研究[D];东北大学;2011年
3 张卫争;Struts框架下Web应用系统的开发与研究[D];太原理工大学;2008年
4 李根深;基于动态软件体系结构的自适应Web应用系统研究与设计[D];五邑大学;2014年
5 张霞;Web应用系统可伸缩性度量方法的研究[D];西南大学;2010年
6 肖路;Web应用系统功能测试研究与应用[D];重庆大学;2007年
7 李翔;Struts2框架下Web应用系统的设计与研发[D];西南财经大学;2010年
8 卢建华;基于Web应用系统的性能测试及工具开发[D];西安电子科技大学;2009年
9 李海虹;基于J2EE的Web应用系统多层体系结构的研究与实现[D];西安电子科技大学;2006年
10 史宁宁;一种面向Web应用系统的自动化测试框架[D];吉林大学;2011年
本文关键词:Web应用系统漏洞定位技术研究与实现,,由笔耕文化传播整理发布。
本文编号:344460
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/344460.html
