基于爬虫和模糊测试的XSS漏洞检测工具设计与实现

发布时间：2017-06-06 09:04

  本文关键词：基于爬虫和模糊测试的XSS漏洞检测工具设计与实现，，由笔耕文化传播整理发布。

【摘要】：2003年之前的Web1.0时代,用户只是通过浏览器获得Web服务器提供的信息,所以那个时代出现跨站脚本XSS漏洞不常见。在Web2.0时代,Web服务器更注重与用户的交互,动态网页技术和AJAX技术,使得跨站脚本XSS漏洞出现井喷式爆发。开放式Web应用程序安全项目组织在2013年统计过十大Web安全漏洞,跨站脚本XSS漏洞已经成为第三大漏洞。和传统的缓冲区溢出漏洞相比,跨站脚本XSS漏洞因为其运行环境简单,只需要脚本环境,所以其危害更大。基于上述现状,本文设计并实现基于通用网络爬虫和基于漏洞库的模糊测试的跨站脚本XSS漏洞检测工具。本文通过对跨站脚本XSS漏洞的进行深入研究,剖析其产生原理,利用方式及其分类。在此基础上,对通用网络爬虫技术、主题网络爬虫技术、深度网络爬虫技术进行研究和分析优缺点,选取更适合本系统的通用网络爬虫并使用广度优先算法作为抓取页面算法;也对纯模糊测试技术、基于漏洞库的模糊测试技术、基于环境的模糊测试技术进行研究和深入分析其优缺点,综合考虑本系统的特点,选取基于漏洞库的模糊测试技术,并给出跨站脚本XSS漏洞库的测试用例和模糊测试数据的方法。选择高性能的Oracle数据库,并对Oracle数据库的库架构优化、表优化方面做了详尽的描述。使用微软公司的Visual Studio 2008的图像界面开发工具,采用C sharp语言开发。综合上面的基础知识和研究,设计并实现基于通用网络爬虫和基于漏洞库的模糊测试的XSS漏洞检测工具。通过对某网站的跨站脚本XSS漏洞的检测测试,证明跨站脚本XSS漏洞检测工具是有效的,正确的。
【关键词】：XSS漏洞 网络爬虫 模糊检测 Oracle
【学位授予单位】：华南理工大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要5-6
• Abstract6-10
• 第一章 绪论10-15
• 1.1 研究背景意义10-13
• 1.1.1 当前跨站脚本XSS漏洞防御情况11-12
• 1.1.2 当前跨站脚本XSS漏洞检测与挖掘方法12-13
• 1.2 研究内容13-14
• 1.3 章节安排14-15
• 第二章 跨站脚本XSS漏洞概述15-20
• 2.1 跨站脚本XSS漏洞简介15-16
• 2.2 跨站脚本XSS漏洞产生的基本原理16-17
• 2.3 跨站脚本XSS漏洞分类17-20
• 2.3.1 反射型XSS17-18
• 2.3.2 持久型XSS18-20
• 第三章 网络爬虫技术20-30
• 3.1 网络爬虫的由来20
• 3.2 网络爬虫的定义、基本原理20
• 3.3 网络爬虫的分类20-26
• 3.3.1 通用网络爬虫(General Purpose Web Crawler)20-22
• 3.3.2 主题网络爬虫(Topical Web Crawler)22-24
• 3.2.3 深度网络爬虫(Deep Web Crawler)24-26
• 3.4 网络爬虫常用搜索策略26-29
• 3.4.1 深度优先搜索算法26-28
• 3.4.2 广度优先搜索算法28-29
• 3.5 还需考虑的问题29-30
• 第四章 模糊测试技术30-34
• 4.1 模糊测试的分类及其比较30-31
• 4.2 基于漏洞库的模糊测试31-33
• 4.2.1 流程图31-32
• 4.2.2 XSS漏洞库32
• 4.2.3 生成模糊测试数据方法模型32-33
• 4.3 还需考虑的问题33-34
• 第五章 XSS漏洞检测工具的系统设计与实现34-56
• 5.1 Oracle数据库设计与优化原则34-36
• 5.2 通用网络爬虫设计36-42
• 5.2.1 通用网络爬虫模块结构36
• 5.2.2 通用网络爬虫模块描述36-37
• 5.2.3 通用网络爬虫详细流程图37
• 5.2.4 通用网络爬虫流程详细描述37-40
• 5.2.5 通用网络爬虫表设计40-42
• 5.3 基于漏洞库的模糊测试设计42-45
• 5.3.1 基于漏洞库的模糊测试模块结构42
• 5.3.2 基于漏洞库的模糊测试模块描述42-43
• 5.3.3 基于漏洞库的模糊测试详细流程图43
• 5.3.4 基于漏洞库的模糊测试流程详细描述43-44
• 5.3.5 基于漏洞库的模糊测试表设计44-45
• 5.4 XSS漏洞检测总体系统设计45-51
• 5.4.1 XSS漏洞检测架构图46
• 5.4.2 XSS漏洞检测模块结构46
• 5.4.3 XSS漏洞检测模块描述46-48
• 5.4.4 XSS漏洞检测详细流程图48
• 5.4.5 XSS漏洞检测流程详细描述48
• 5.4.6 XSS漏洞检测表设计48-51
• 5.4.7 XSS漏洞检测数据库的概念模型51
• 5.5 XSS漏洞检测的实现51-56
• 5.5.1 安装开发环境和创建数据库51-53
• 5.5.2 XSS 漏洞检测的部分代码53-56
• 第六章 XSS漏洞检测工具的系统测试与分析56-61
• 6.1 测试的研究56-57
• 6.2 Web服务器与XSS检测工具运行环境57-58
• 6.2.1 硬件环境要求57
• 6.2.2 软件环境要求57-58
• 6.3 XSS漏洞测试目标的搭建58
• 6.4 XSS测试内容及其步骤58-61
• 6.4.1 测试内容58-59
• 6.4.2 测试步骤59-60
• 6.4.3 测试结果60-61
• 6.5 小结61
• 总结和展望61-64
• 总结61-62
• 展望62-64
• 参考文献64-66
• 致谢66-67
• 附件67

【参考文献】

中国期刊全文数据库 前10条

1 于成龙;于洪波;;网络爬虫技术研究[J];东莞理工学院学报;2011年03期

2 张亮;;基于HTMLParser和HttpClient的网络爬虫原理与实现[J];电脑编程技巧与维护;2011年20期

3 张超;闫宏印;;多线程网络爬虫的设计与实现[J];电脑开发与应用;2012年06期

4 张军峰;如何使软件测试更有效[J];电脑知识与技术;2005年06期

5 唐波;;网络爬虫的设计与实现[J];电脑知识与技术;2009年11期

6 甄福东;;Oracle10g数据库系统性能优化与调整[J];电脑知识与技术;2010年22期

7 梅林;;增加动态网页对搜索引擎可见度的策略[J];甘肃科技;2008年01期

8 石琳;;软件测试方法的分析与研究[J];计算机光盘软件与应用;2012年19期

9 许静,陈宏刚,王庆人;软件测试方法简述与展望[J];计算机工程与应用;2003年13期

10 张新华;何永前;;软件测试方法概述[J];科技视界;2012年04期

中国硕士学位论文全文数据库 前5条

1 胡成祥;基于权值衡量网络协议的模糊测试[D];山东大学;2011年

2 姚林涛;基于Lucene的Web搜索引擎实现[D];西安电子科技大学;2008年

3 吕赛辉;主题爬虫关键技术研究及应用[D];浙江工业大学;2009年

4 陈彪;中文搜索引擎的个性化服务研究[D];电子科技大学;2010年

5 王悦洁;手机电子商务销售系统的设计与实现[D];电子科技大学;2012年

  本文关键词：基于爬虫和模糊测试的XSS漏洞检测工具设计与实现，由笔耕文化传播整理发布。

本文编号：425884