Web输入验证脆弱性检测方法研究与改进

发布时间：2022-01-04 15:01

　　随着web技术的不断发展,基于web的应用越来越流行,针对web的攻击也愈加频繁,因此web应用的安全问题正引起广泛关注。web应用遭受安全攻击的来源之一就是用户输入,为了防范web攻击,需要对用户输入进行有效验证。事实上,在web应用中存在着验证不足的问题,因为验证不足导致程序中存在输入验证脆弱性。在输入验证脆弱性检测过程中,评价检测效果的重要指标之一就是能否对web应用中的验证操作进行完整和有效的分析。在检测脆弱性时,将约束提取和约束求解相结合是当前web脆弱性检测的常见模式。该模式能对提取到的表示验证的约束进行评价,可以有效降低分析中的误报率和提升分析结果的准确度,相比其他模式具有优势。本文对这一模式中的两个阶段做了进一步研究,发现在约束提取完整性和评价准确性方面,这种模式还存在不足,并提出改进方法。1.分析了web应用中的参数验证机制和验证不足导致的脆弱性——输入验证脆弱性。根据脆弱性检测的需要对验证操作进行分类,并总结了输入验证脆弱性的危害及常见的攻击。2.总结了输入验证脆弱性检测的主要方法。主要介绍了这些方法的理论基础和适应范围,比较了这些方法的优缺点。发现传统污点分析不能... 

【文章来源】：南京大学江苏省 211工程院校 985工程院校 教育部直属院校

【文章页数】：77 页

【学位级别】：硕士

【文章目录】：
摘要
Abstract
第一章 绪论
    1.1 研究背景
    1.2 研究内容
    1.3 本文组织
第二章 Web输入验证及脆弱性
    2.1 Web输入验证
        2.1.1 从表现形式分类
        2.1.2 从验证能力分类
    2.2 Web输入验证脆弱性
        2.2.1 SQL注入脆弱性
        2.2.2 跨站脚本(XSS)
    2.3 本章小结
第三章 Web脆弱性分析研究
    3.1 约束提取
        3.1.1 污点分析
        3.1.2 符号执行
        3.1.3 分析比较
    3.2 约束求解
        3.2.1 字符串分析
        3.2.2 字符串分析用于脆弱性检测
        3.2.3 不足之处
    3.3 本章小结
第四章 改进的web输入验证脆弱性检测
    4.1 改进动机
    4.2 验证提取
        4.2.1 域粒度污染标记
        4.2.2 污染驱动的切片
    4.3 验证评价
        4.3.1 输入字符集划分
        4.3.2 验证操作分类
        4.3.3 最小分析域
        4.3.4 变量名相关的验证策略
    4.4 改进的web输入验证脆弱性检测方案
    4.5 本章小结
第五章 设计与实现
    5.1 系统框架
    5.2 平台介绍
        5.2.1 Pixy
        5.2.2 dk.brics.automaton和SUSHI
    5.3 验证提取模块
        5.3.1 污染驱动的切片子模块
    5.4 验证评价模块
        5.4.1 粗粒度分析子模块
        5.4.2 细粒度分析子模块
    5.5 本章小结
第六章 实验过程与结果
    6.1 实验对象
    6.2 实验结果与分析
        6.2.1 包含检查型验证操作的验证图
        6.2.2 验证图分类情况
        6.2.3 包含有意义变量名的验证图
        6.2.4 str_replace操作
        6.2.5 常量相关的连接操作
    6.3 本章小结
第七章 总结与展望
    7.1 本文工作的创新点
    7.2 进一步工作
参考文献
简历与科研成果
致谢


【参考文献】：
期刊论文
[1]字符串分析研究进展[J]. 梅宏,王啸吟,张路.  软件学报. 2013(01)



本文编号：3568554