基于模糊测试的Web应用安全性检测方法研究

发布时间：2017-09-11 05:12

  本文关键词：基于模糊测试的Web应用安全性检测方法研究

  更多相关文章： Web 安全性检测 模糊测试 测试用例生成 漏洞数据分析 量化评估

【摘要】：随着互联网的不断发展,Web应用在带给用户方便与快捷的同时,由于开发资源和时间的限制、用户环境的复杂性和不可控制性等原因,Web应用仍存在着大量的安全漏洞隐患。为了保障Web应用的安全性,在Web应用部署和使用前模仿用户的输入,对可能存在的漏洞进行安全性检测是至关重要的。而作为一种模拟用户攻击的测试方法,模糊测试正普遍应用于Web应用漏洞的安全性检测工作中。现有模糊测试大都是基于“获取数据—输入攻击测试用例—分析漏洞数据”的流程对Web应用进行安全性检测,该流程中存在测试用例覆盖率低、漏洞响应无法有效验证及漏洞检测结果无法量化评估等问题,导致漏洞检测结果存在较多的漏报和误报。针对测试用例覆盖率低导致漏洞检测漏报率高的问题,本文提出一种基于动态生成和协议变形的测试用例生成方法。该方法针对典型的XSS跨站脚本和SQL注入测试用例进行特征提取后生成特征库,然后通过特征组合动态生成大量测试用例;同时,针对Web应用的过滤机制进行分析,根据分析后的过滤规则采用相应的变形方法指导测试用例的生成。实验表明,该方法在Web应用过滤环境复杂的情况下较动态生成方法和随机枚举方法具有较低的漏报率。针对漏洞响应无法有效验证导致漏洞检测误报率高的问题,本文提出一种基于污染传播策略的漏洞数据分析方法,该方法采用模糊测试后得到的SQL注入和XSS跨站脚本漏洞注入点数据和测试用例数据为污染数据,根据污染传播规则动态跟踪污染数据,最后经过污染检测分析验证是否存在漏洞。实验表明,该方法较现有测试工具的漏洞响应分析方法具有较低的误报率。针对漏洞检测结果无法量化评估的问题,本文提出Web安全性检测结果的量化评估方法。该方法根据Web应用的高危、中危以及低危漏洞数量,量化计算Web安全性检测结果,使Web安全测评人员对Web应用的安全状况有较为直观的了解,实验结果表明,该方法可直观表示Web应用存在的漏洞情况。
【关键词】：Web 安全性检测 模糊测试 测试用例生成 漏洞数据分析 量化评估
【学位授予单位】：西南大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP393.09
【目录】：

• 摘要8-10
• Abstract10-12
• 第1章 绪论12-22
• 1.1 研究背景和意义12-14
• 1.2 国内外研究现状14-18
• 1.2.1 Web应用安全性测试研究14-16
• 1.2.2 模糊测试在Web应用安全性测试中的发展16-18
• 1.3 论文主要工作18-19
• 1.4 论文的结构19-22
• 第2章 Web应用安全性检测相关理论22-33
• 2.1 Web应用的体系结构22
• 2.2 Web应用安全漏洞22-24
• 2.3 XSS跨站脚本漏洞24-26
• 2.3.1 XSS跨站脚本定义24
• 2.3.2 XSS跨站脚本分类24-25
• 2.3.3 XSS漏洞危害25-26
• 2.4 SQL注入漏洞26-28
• 2.4.1 SQL注入定义26-27
• 2.4.2 SQL注入分类27-28
• 2.4.3 SQL注入漏洞危害28
• 2.5 Web应用模糊测试理论28-32
• 2.5.1 Web应用模糊测试原理29
• 2.5.2 Web应用模糊测试测试流程29-30
• 2.5.3 Web应用模糊测试用例生成方法30-32
• 2.6 本章小结32-33
• 第3章 基于动态生成和协议变形的测试用例生成方法33-49
• 3.1 现有的XSS攻击和SQL注入测试用例生成方法33-34
• 3.2 基于动态生成和协议变形的测试用例生成方法34-37
• 3.2.1 总体方法流程34-35
• 3.2.2 总体方法设计35-37
• 3.3 XSS攻击测试用例生成方法37-43
• 3.3.1 测试用例特征分析及过滤规则解析37-38
• 3.3.2 测试用例特征库构建及变形规则分析38-40
• 3.3.3 测试用例特征动态组合及变形生成40-43
• 3.4 SQL注入测试用例生成方法43-48
• 3.4.1 测试用例特征分析及过滤规则解析43-44
• 3.4.2 测试用例特征库构建及变形规则分析44-45
• 3.4.3 测试用例动态组合及变形生成45-48
• 3.5 本章小结48-49
• 第4章 基于污染传播策略的漏洞数据分析方法及漏洞检测量化评估方法49-60
• 4.1 污染传播策略49-50
• 4.2 基于污染传播策略的漏洞数据分析方法50-57
• 4.2.1 污染漏洞数据标记53-54
• 4.2.2 污染漏洞数据传播规则54-57
• 4.2.3 污染漏洞数据检测与分析57
• 4.3 漏洞检测的量化评估方法57-59
• 4.4 本章小结59-60
• 第5章 实验与分析60-70
• 5.1 评价指标60
• 5.2 实验数据60-61
• 5.3 实验方案与设定61-63
• 5.4 实验结果与分析63-69
• 5.4.1 测试用例生成方法对比实验63-65
• 5.4.2 漏洞数据分析方法对比实验65
• 5.4.3 基于模糊测试的Web应用安全性检测方法的对比实验65-69
• 5.5 本章小结69-70
• 第6章 总结与展望70-72
• 6.1 总结70-71
• 6.2 工作展望71-72
• 参考文献72-76
• 致谢76-78
• 攻读硕士学位期间发表的论文及参与的课题78

【相似文献】

中国期刊全文数据库 前10条

1 路晓丽;葛玮;陈新丽;郝克刚;;支持共享和复用的测试用例库系统的设计[J];计算机科学;2006年05期

2 胡珊;杨丰玉;张晔;刘琳岚;;基于测试项抽取的测试用例复用方法[J];微电子学与计算机;2010年01期

3 张德平;查日军;;划分测试用例选择的风险决策方法[J];计算机应用研究;2010年12期

4 杨翊;陈挺;许峥;;证券软件的测试用例设计充分性实践[J];中国证券期货;2012年07期

5 张智轶;陈振宇;徐宝文;杨瑞;;测试用例演化研究进展[J];软件学报;2013年04期

6 杨悦;秦湘河;杨永安;郭荣;;航天测控软件测试用例标准及应用研究[J];无线电工程;2013年09期

7 王侃,卢庆龄,彭艳丽;测试用例自动生成的链方法研究与实现[J];装甲兵工程学院学报;2001年03期

8 李顺华;测试用例管理方法探讨[J];飞航导弹;2001年05期

9 徐仁佐,陈斌,陈波,吴闽泉,熊忠伟;构造面向对象软件可复用测试用例的模式研究[J];武汉大学学报(理学版);2003年05期

10 陈绍英;金成姬;;性能测试用例[J];程序员;2004年11期

中国重要会议论文全文数据库 前10条

1 王道堂;林春哲;张凯;;软件测试用例构造方法与手段[A];计算机技术在工程建设中的应用——第十二届全国工程建设计算机应用学术会议论文集[C];2004年

2 李磊;曹先彬;;基于进化的软件测试用例生成方法[A];2005年“数字安徽”博士科技论坛论文集[C];2005年

3 徐李勤;王洁宁;;基于层次有色Petri网的软件测试用例选取研究[A];全国第二届信号处理与应用学术会议专刊[C];2008年

4 林春哲;张凯;王道堂;;软件测试用例设计分析[A];计算机技术在工程建设中的应用——第十二届全国工程建设计算机应用学术会议论文集[C];2004年

5 张侠影;李志蜀;;一种优化的测试用例约简方法[A];2008'中国信息技术与应用学术论坛论文集（一）[C];2008年

6 张德平;聂长海;徐宝文;;划分测试用例选择策略研究[A];第五届中国测试学术会议论文集[C];2008年

7 郭从颖;;场景驱动测试用例设计及其测试自动化技术研究[A];中国计量协会冶金分会2008年会论文集[C];2008年

8 郭从颖;;场景驱动测试用例设计及其测试自动化技术研究[A];2008全国第十三届自动化应用技术学术交流会论文集[C];2008年

9 周晓燕;李兵;潘伟丰;覃叶宜;;基于错误传播概率网络的软件回归测试用例选择[A];第五届全国复杂网络学术会议论文（摘要）汇集[C];2009年

10 万琳;张威;马雪雁;陈曼青;;基于路径的测试用例自动生成技术[A];第十届全国容错计算学术会议论文集[C];2003年

中国重要报纸全文数据库 前6条

1 深圳市信息无障碍研究会 戴杰;“听”软件的IT工程师[N];人民政协报;2014年

2 谢敏 沈雪芳 戴金龙;解决软件测试的近忧和远虑[N];计算机世界;2005年

3 计算机世界实验室 韩勖;拨云见日[N];计算机世界;2008年

4 《网络世界》记者 郑楠;ONF测试步伐有条不紊[N];网络世界;2014年

5 ;找错[N];计算机世界;2002年

6 信息产业部软件与集成电路促进中心 于明邋唐仕武;驶入测试“快车道”[N];计算机世界;2007年

中国博士学位论文全文数据库 前10条

1 罗玲;扩展π演算的建模、验证与测试[D];西安电子科技大学;2015年

2 王志强;基于模糊测试的漏洞挖掘及相关攻防技术研究[D];西安电子科技大学;2015年

3 涂径玄;基于覆盖分析的自动化错误定位关键技术研究[D];南京大学;2016年

4 苏亭;基于覆盖准则的软件测试用例自动化生成方法的研究与实现[D];华东师范大学;2016年

5 李丽;航天相机主控软件测试用例自动生成技术的研究[D];中国科学院研究生院（长春光学精密机械与物理研究所）;2010年

6 黄如兵;组合测试用例的自适应随机生成与优先级排序方法研究[D];华中科技大学;2013年

7 张娟;软件测试中测试用例复用的研究[D];上海大学;2012年

8 游亮;回归测试用例选择技术研究[D];华中科技大学;2012年

9 谢晓东;基于模型比较的软件测试用例生成方法研究[D];华中科技大学;2007年

10 李根;基于动态测试用例生成的二进制软件缺陷自动发掘技术研究[D];国防科学技术大学;2010年

中国硕士学位论文全文数据库 前10条

1 田春艳;基于灰色关联逼近理想解方法的测试用例评价模型研究[D];昆明理工大学;2009年

2 唐海鹏;基于Additional策略回归测试用例优先级排序优化研究[D];西南大学;2015年

3 陈梦云;基于圈复杂度和调用次数的测试用例排序方法[D];上海师范大学;2015年

4 姚瑞超;广东电网测试用例自动生成工具的研究与设计[D];华南理工大学;2015年

5 张泽林;基于数据挖掘的软件多故障定位与分析技术[D];南京理工大学;2015年

6 邹炳松;嵌入式软件的图形化测试用例生成系统设计与实现[D];哈尔滨工业大学;2015年

7 李锦程;基于微信平台的医疗就诊系统设计与实现[D];哈尔滨工业大学;2015年

8 赵群;软件错误定位中的巧合正确性问题研究[D];哈尔滨工业大学;2015年

9 常龙辉;Web应用的测试用例优化生成与优先级技术[D];上海大学;2015年

10 王令赛;基于粒子群优化算法的测试用例生成技术研究[D];中国矿业大学;2015年

，

本文编号：828790