SQL注入与XSS攻击自动化检测关键技术研究

发布时间：2017-05-26 03:00

  本文关键词：SQL注入与XSS攻击自动化检测关键技术研究，由笔耕文化传播整理发布。

【摘要】：Web应用是最受黑客青睐的攻击目标,为了应对攻击威胁,企业开始越来越重视对Web应用软件的安全测试。对于Web系统来说,最具时效性和功效性的自动化检测分析来自于渗透测试。渗透测试是一种模拟正常安全攻击行为,并对行为结果响应进行分析,以确定是否存在安全漏洞的一种黑盒测试方法。许多安全研究者投入大量精力对渗透测试进行研究,并取得了许多成果,但目前尚且没有成熟的理论模型来优化渗透测试流程,也没有适当的理论方法来指导生成优化的测试用例集合。这使得渗透测试具有较大的盲目性,造成测试效率和准确度不理想。 本文主要针对目前比较流行和危害较大的两种安全漏洞---SQL注入(SQL Injection)和跨站脚本(Cross Site Script,简称xsS)进行研究。通过对该两种漏洞类型测试用例的有效生成和优化问题及自动化检测分析方式的研究,提出了基于有向图的SQL注入测试用例生成模型和基于攻击位置的跨站攻击测试用例生成模型。并利用模型指导、优化测试用例集的生成过程,最终生成了优化的测试用例集合。另外,针对漏洞自动化检测流程,提出了基于代理模式的渗透测试模型来优化检测分析过程。利用该模型,安全分析者可以尽最大可能的收集测试数据,避免对测试输入点集合的遗漏,提高了测试准确率。 通过实验和测试,一方面通过新的用例模型生成了优化的测试用例集合,并对最终用例集合的有效性进行了测试分析。其次,对新的渗透测试模型进行了检测分析,验证了模型的有效性,取得了很好的效果。
【关键词】：渗透测试 SQL注入 跨站脚本 测试用例
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要4-5
• ABSTRACT5-9
• 第一章 绪论9-14
• 1.1 研究背景9-10
• 1.2 研究现状10-12
• 1.3 论文主要工作12
• 1.4 论文组织结构12-14
• 第二章 SQL注入与跨站脚本研究14-25
• 2.1 SQL注入研究14-18
• 2.1.1 SQL注入原理分析14-16
• 2.1.2 SQL注入分类16-18
• 2.2 跨站脚本研究18-24
• 2.2.1 跨站脚本原理分析19
• 2.2.2 反射型XSS19-20
• 2.2.3 存储型XSS20
• 2.2.4 DOM型XSS20-21
• 2.2.5 Flash XSS21-23
• 2.2.6 基于突变的跨站攻击23-24
• 2.3 本章小结24-25
• 第三章 SQL注入和XSS跨站攻击测试用例生成模型设计25-47
• 3.1 测试用例生成模型研究25-27
• 3.2 基于有向图的SQL注入测试用例生成模型研究27-30
• 3.2.1 SQL注入攻击目的研究27-28
• 3.2.2 基于有向图的SQL注入测试用例生成模型设计28-30
• 3.3 基于有向图的SQL注入测试用例生成模型实例化30-36
• 3.3.1 SQL注入测试用例子模型分析30-33
• 3.3.2 基于攻击方式生成测试用例33-35
• 3.3.3 基于攻击目的生成测试用例35-36
• 3.4 基于攻击位置的跨站攻击测试用例生成模型设计36-38
• 3.5 XSS跨站攻击测试用例生成模型实例化38-40
• 3.6 测试用例生成基本准则定义40-41
• 3.7 测试用例生成模型对比41-42
• 3.8 模型测试及结果分析42-46
• 3.8.1 测试流程及测试分析43-45
• 3.8.2 测试结果说明45-46
• 3.9 本章小结46-47
• 第四章 基于代理模式的WEB应用漏洞检测模型设计47-57
• 4.1 WEB应用常用漏洞检测方式研究47-48
• 4.2 SQL注入与XSS跨站攻击检测模型分析与研究48-49
• 4.3 基于代理模式的WEB应用漏洞检测模型研究与设计49-56
• 4.3.1 模型工作流程与设计49-51
• 4.3.2 漏洞检测模型对比51-52
• 4.3.3 模型测试及实验结果52-55
• 4.3.4 测试结果说明55-56
• 4.4 本章小结56-57
• 第五章 防御及建议57-60
• 5.1 SQL注入攻击防御策略57-58
• 5.2 XSS跨站攻击防御策略58-60
• 第六章 总结与展望60-62
• 6.1 总结60
• 6.2 不足与展望60-62
• 参考文献62-65
• 致谢65-66
• 攻读学位期间发表的学术论文66

【参考文献】

中国期刊全文数据库 前4条

1 章晓芳;陈林;徐宝文;聂长海;;测试用例集约简问题研究及其进展[J];计算机科学与探索;2008年03期

2 文伟平;张普含;徐有福;尹亮;;参考安全补丁比对的软件安全漏洞挖掘方法[J];清华大学学报(自然科学版);2011年10期

3 黄锋;吴华瑞;;基于J2EE应用的SQL注入分析与防范[J];计算机工程与设计;2012年10期

4 王强;蔡皖东;姚烨;;基于渗透测试的跨站脚本漏洞检测方法研究[J];计算机技术与发展;2013年03期

中国博士学位论文全文数据库 前2条

1 王欣;WEB应用系统安全检测关键技术研究[D];北京邮电大学;2011年

2 田伟;模型驱动的web应用SQL注入安全漏洞渗透测试研究[D];南开大学;2012年

  本文关键词：SQL注入与XSS攻击自动化检测关键技术研究，由笔耕文化传播整理发布。

，

本文编号：395569