论文检索
论文发表
当前位置:主页 > 管理论文 > 移动网络论文 >

Web应用常见漏洞的产生场景和检测规则研究

发布时间:2017-09-28 08:12

  本文关键词:Web应用常见漏洞的产生场景和检测规则研究


  更多相关文章: Web安全 漏洞检测 SQL注入 XSS CSRF 网络爬虫


【摘要】:随着互联网的发展和Web 2.0时代的到来,在许多行业领域都建设了Web应用信息站点,而网络上针对这些Web应用程序的攻击也越来越多。Web应用出现的安全问题已经非常迫切,传统的网络安全保护措施只能有限度地保护Web应用不受攻击。网络防火墙必须放过80端口的http请求,且大部分Web Server都没有仔细地检查http请求的合法性,因此Web应用程序成了暴露在互联网上的靶子。对Web应用安全漏洞的产生场景和检测技术展开详细研究具有基础应用价值,也引起了越来越多信息安全研究人员的注意。针对层出不穷的Web安全漏洞,本文着重研究了SQL注入、XSS(反射型、DOM型和存储型)以及CSRF等常见重点漏洞的产生场景和检测规则,此外还研究了比较适合扫描系统存储和下发的规则文本组织形式,以及具有解析javascript脚本功能的爬虫实现。经过在本地搭建的测试环境的测试,提出的检测用例能够检测出大部分常见漏洞,而对于存储型XSS漏洞尚无自动化解决办法。此外检测用例也探测到一些实际站点的漏洞,说明研究的规则有一定的实用性。设计实现的爬虫不仅能够爬出静态页面中的url链接,对于需要解析javascript才能获取的链接也可以爬取。提出的xml规则组织文本形式能够适应规则的扩展,也为扫描器的规则解析和下发提供便利。
【关键词】:Web安全 漏洞检测 SQL注入 XSS CSRF 网络爬虫
【学位授予单位】:暨南大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
  • 摘要3-4
  • ABSTRACT4-8
  • 第1章 绪论8-13
  • 1.1 课题背景与研究意义8-9
  • 1.1.1 课题背景8-9
  • 1.1.2 研究意义9
  • 1.2 国内外研究现状和发展趋势9-11
  • 1.2.1 国内外研究现状9-10
  • 1.2.2 发展趋势10-11
  • 1.3 研究内容及研究思路11-12
  • 1.3.1 研究内容11
  • 1.3.2 研究思路11-12
  • 1.4 本文结构编排12-13
  • 第2章 Web安全基础理论知识13-23
  • 2.1 Web应用基础知识13-14
  • 2.2 浏览器的同源策略14-18
  • 2.2.1 同源策略简介14-15
  • 2.2.2 同源策略的作用15-17
  • 2.2.3 同源策略失守17-18
  • 2.3 Web漏洞的定义和产生原因18-20
  • 2.3.1 安全漏洞的定义18-19
  • 2.3.2 Web漏洞的产生原因19-20
  • 2.4 Web安全渗透测试20-21
  • 2.4.1 渗透测试的定义20-21
  • 2.4.2 渗透测试的流程21
  • 2.5 本地测试环境搭建21-23
  • 第3章 检测规则文本和爬虫技术剖析23-34
  • 3.1 检测规则文本23-26
  • 3.1.1 检测规则的文本存储形式23-25
  • 3.1.2 检测规则的下发流程25-26
  • 3.2 爬虫技术剖析26-34
  • 3.2.1 爬虫的架构和url去重方法26-29
  • 3.2.1.1 爬虫的架构和调度26-28
  • 3.2.1.2 url去重的方法和相似性28-29
  • 3.2.2 爬虫的页面分析29-31
  • 3.2.3 爬虫的具体实现和功能测试31-34
  • 3.2.3.1 爬虫的具体实现31-33
  • 3.2.3.2 爬虫的功能测试33-34
  • 第4章 SQL注入漏洞的产生和检测34-41
  • 4.1 SQL注入漏洞的产生场景和危害34-35
  • 4.2 SQL注入漏洞的检测规则35-40
  • 4.2.1 基于请求返回页面的对比36-37
  • 4.2.2 基于时间轴的判定方法37-39
  • 4.2.3 基于性能测试函数BenchMark39-40
  • 4.3 SQL注入漏洞的修复和防范40-41
  • 第5章 XSS漏洞的产生和检测41-59
  • 5.1 跨站脚本漏洞的产生和危害41-43
  • 5.2 跨站脚本漏洞的分类和产生场景43-48
  • 5.2.1 跨站脚本漏洞的分类43-46
  • 5.2.1.1 非持久型XSS漏洞43-44
  • 5.2.1.2 持久型XSS漏洞44-45
  • 5.2.1.3 基于DOM的XSS漏洞45-46
  • 5.2.2 跨站脚本漏洞的产生场景46-48
  • 5.3 跨站脚本漏洞的检测规则48-56
  • 5.3.1 非持久型XSS漏洞的检测48-52
  • 5.3.2 持久型XSS漏洞的检测52-53
  • 5.3.3 基于DOM的XSS漏洞的检测53-56
  • 5.4 跨站脚本漏洞的修复和防范56-59
  • 第6章 CSRF漏洞的产生和检测59-67
  • 6.1 跨站请求伪造漏洞的产生场景和危害59-61
  • 6.2 跨站请求伪造漏洞的分类61-63
  • 6.2.1 CSRF写—更改设置61-62
  • 6.2.2 CSRF写和读—获取敏感信息62-63
  • 6.3 跨站请求伪造漏洞的检测规则63-65
  • 6.4 跨站请求伪造漏洞的修复和防范65-67
  • 第7章 总结与展望67-68
  • 参考文献68-71
  • 致谢71

【参考文献】

中国期刊全文数据库 前8条

1 李必云;石俊萍;;Web攻击及安全防护技术研究[J];电脑知识与技术;2009年31期

2 俞小怡;常艳;许捍卫;;Web应用中的攻击防御技术的研究与实现[J];计算机安全;2008年06期

3 刘大勇;Web的安全威胁与安全防护[J];大众科技;2005年06期

4 陈春艳;;跨站请求伪造攻击的基本原理与防范[J];电脑知识与技术;2014年05期

5 单国栋,戴英侠,王航;计算机漏洞分类研究[J];计算机工程;2002年10期

6 杨波,朱秋萍;Web安全技术综述[J];计算机应用研究;2002年10期

7 王蕊;葛昕;;Web应用程序跨站脚本漏洞测试研究[J];科协论坛(下半月);2008年06期

8 冯锴;林柏钢;;跨站脚本漏洞的白盒测试框架的设计和实现[J];计算机工程与科学;2011年10期

中国硕士学位论文全文数据库 前1条

1 潘古兵;Web应用程序渗透测试方法研究[D];西南大学;2012年



本文编号:934732

资料下载
论文发表

本文链接:https://www.wllwen.com/guanlilunwen/ydhl/934732.html

上一篇:基于两步模糊聚类算法的网络入侵检测应用  
下一篇:基于攻防图的网络主动防御策略选取研究
论文发表
最近更新
教材专著
热点文章

Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户359cf***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com