基于污点分析与模糊测试的XSS漏洞检测方法
发布时间:2022-07-07 10:01
随着web2.0技术的快速发展和互联网行业的普及化,web应用程序存在的安全漏洞问题也引起了广泛关注。跨站脚本漏洞是近些年来的研究热点,传统的XSS漏洞检测方式主要是基于单一的污点分析或者遗传算法等检测技术,容易造成用户数据的泄漏,检测效率低。因此,本文基于反射型XSS漏洞的研究现状和特点,抛开单一的研究技术,结合已有的理论和方法对XSS漏洞检测技术进行改进,利用污点分析和模糊测试技术相结合的方式展开了反射型跨站脚本XSS漏洞的检测和研究。本文主要工作内容如下:(1)对污点数据源和传播路径进行静态方法分析数据,具体是静态代码审计分析网页源代码,使污染数据源所在的区域范围进一步缩小,使污染传播的分析过程更高效。(2)进行污点分析的漏洞利用检测过程,根据三方面问题展开,首先是标记污染数据源,然后是污染数据传播,最后是检测污染数据净化。(3)利用网页爬虫技术分析目标站点并对网页链接进行迭代爬取,直到页面中所有链接被爬取成功。以便获取可能存在的漏洞注入点,为了验证网页是否存在过滤器拦截,进行WAF检测,查看是否存在可防御的设备。(4)以WAF检测结果为依据,使用模糊测试技术生成漏洞检测的测试用...
【文章页数】:68 页
【学位级别】:硕士
【文章目录】:
摘要
abstract
第一章 绪论
1.1 课题研究背景
1.2 课题研究现状
1.3 课题工作内容
1.4 本文组织结构
第二章 相关背景知识介绍
2.1 跨站脚本漏洞的介绍
2.1.1 XSS漏洞的概述
2.1.2 XSS漏洞的分类
2.1.3 XSS漏洞的攻击以及危害
2.2 污点分析技术
2.3 URL协议简介
2.4 模糊测试技术
2.4.1 模糊测试技术概念
2.4.2 模糊测试技术的工作步骤
2.4.3 模糊测试技术的类型
2.5 本章小结
第三章 漏洞检测系统的设计及研究
3.1 系统的可行性分析
3.2 系统总体设计
3.2.1 系统设计思想
3.2.2 系统设计方案
3.3 漏洞检测系统的模块设计
3.3.1 静态污点分析模块
3.3.2 网络爬虫模块
3.3.3 模糊测试用例生成模块
3.3.4 WAF检测模块
3.3.5 漏洞检测模块
3.4 本章小结
第四章 静态污点分析和模糊测试的反射型XSS漏洞研究
4.1 反射型XSS漏洞的形式化描述
4.2 静态污点分析的实现
4.2.1 标记污染数据源
4.2.2 污染数据的传播
4.2.3 污染数据的传播
4.3 URL爬虫设计和实现
4.3.1 URL爬虫设计原理
4.3.2 URL去重技术的实现
4.3.3 页面遍历
4.3.4 页面分析
4.4 WAF检测功能的实现
4.5 模糊测试用例的实现
4.6 XSS漏洞检测的实现
4.7 本章小结
第五章 实验与分析
5.1 测试内容和目的
5.2 测试环境
5.2.1 实验环境
5.2.2 环境搭建
5.3 漏洞检测过程
5.4 测试结果与分析
5.5 漏洞检测系统性能分析
5.6 本章小结
第六章 总结与展望
6.1 论文工作总结
6.2 展望
参考文献
附录1 攻读硕士学位期间申请的专利
致谢
【参考文献】:
期刊论文
[1]基于Python的健康数据爬虫设计与实现[J]. 程增辉,夏林旭,刘茂福. 软件导刊. 2019(02)
[2]基于Python的多线程网络爬虫的设计与实现[J]. 孙冰. 网络安全技术与应用. 2018(04)
[3]可编程模糊测试技术[J]. 杨梅芳,霍玮,邹燕燕,尹嘉伟,刘宝旭,龚晓锐,贾晓启,邹维. 软件学报. 2018(05)
[4]WAF规则的自动探测与发现技术研究[J]. 张琦,翟健宏. 智能计算机与应用. 2017(06)
[5]基于动态污点分析的Android隐私泄露检测方法[J]. 刘阳,俞研. 计算机应用与软件. 2017(09)
[6]JavaScript优化编译执行模式下的动态污点分析技术[J]. 梁彬,龚伟刚,游伟,李赞,石文昌. 清华大学学报(自然科学版). 2017(09)
[7]Web应用程序漏洞检测系统设计[J]. 陈春玲,张凡,余瀚. 计算机技术与发展. 2017(09)
[8]一种基于Apache的CSRF防御模块的实现[J]. 王马龙,刘健. 网络安全技术与应用. 2017(03)
[9]浅析CSRF漏洞检测、利用及防范[J]. 严亚萍,胡勇. 通信技术. 2017(03)
[10]Android动态加载与反射机制的静态污点分析研究[J]. 乐洪舟,张玉清,王文杰,刘奇旭. 计算机研究与发展. 2017(02)
硕士论文
[1]面向Web网站安全检测的WAF规则发现技术[D]. 张琦.哈尔滨工业大学 2017
[2]基于爬虫和模糊测试的XSS漏洞检测工具设计与实现[D]. 王云.华南理工大学 2015
[3]基于静态分析的PHP代码缺陷检测[D]. 霍志鹏.北京邮电大学 2015
[4]基于Fuzzing技术的WEB应用程序漏洞挖掘技术研究[D]. 陈景峰.北方工业大学 2012
[5]基于DOM的HTML网页正文信息抽取模块的设计与实现[D]. 苏小鲁.北京邮电大学 2011
[6]基于遗传算法的模糊测试技术研究[D]. 章淑琴.华中科技大学 2011
[7]基于模糊测试的XSS漏洞检测系统研究与实现[D]. 刘为.湖南大学 2010
[8]基于AJAX应用程序的跨站脚本攻击防御方法研究[D]. 张倩婕.湖南大学 2010
[9]变异测试技术应用研究[D]. 茆亮亮.中国科学技术大学 2010
[10]基于HTML标记的主题爬行器的设计与实现[D]. 王涛.电子科技大学 2009
本文编号:3656218
【文章页数】:68 页
【学位级别】:硕士
【文章目录】:
摘要
abstract
第一章 绪论
1.1 课题研究背景
1.2 课题研究现状
1.3 课题工作内容
1.4 本文组织结构
第二章 相关背景知识介绍
2.1 跨站脚本漏洞的介绍
2.1.1 XSS漏洞的概述
2.1.2 XSS漏洞的分类
2.1.3 XSS漏洞的攻击以及危害
2.2 污点分析技术
2.3 URL协议简介
2.4 模糊测试技术
2.4.1 模糊测试技术概念
2.4.2 模糊测试技术的工作步骤
2.4.3 模糊测试技术的类型
2.5 本章小结
第三章 漏洞检测系统的设计及研究
3.1 系统的可行性分析
3.2 系统总体设计
3.2.1 系统设计思想
3.2.2 系统设计方案
3.3 漏洞检测系统的模块设计
3.3.1 静态污点分析模块
3.3.2 网络爬虫模块
3.3.3 模糊测试用例生成模块
3.3.4 WAF检测模块
3.3.5 漏洞检测模块
3.4 本章小结
第四章 静态污点分析和模糊测试的反射型XSS漏洞研究
4.1 反射型XSS漏洞的形式化描述
4.2 静态污点分析的实现
4.2.1 标记污染数据源
4.2.2 污染数据的传播
4.2.3 污染数据的传播
4.3 URL爬虫设计和实现
4.3.1 URL爬虫设计原理
4.3.2 URL去重技术的实现
4.3.3 页面遍历
4.3.4 页面分析
4.4 WAF检测功能的实现
4.5 模糊测试用例的实现
4.6 XSS漏洞检测的实现
4.7 本章小结
第五章 实验与分析
5.1 测试内容和目的
5.2 测试环境
5.2.1 实验环境
5.2.2 环境搭建
5.3 漏洞检测过程
5.4 测试结果与分析
5.5 漏洞检测系统性能分析
5.6 本章小结
第六章 总结与展望
6.1 论文工作总结
6.2 展望
参考文献
附录1 攻读硕士学位期间申请的专利
致谢
【参考文献】:
期刊论文
[1]基于Python的健康数据爬虫设计与实现[J]. 程增辉,夏林旭,刘茂福. 软件导刊. 2019(02)
[2]基于Python的多线程网络爬虫的设计与实现[J]. 孙冰. 网络安全技术与应用. 2018(04)
[3]可编程模糊测试技术[J]. 杨梅芳,霍玮,邹燕燕,尹嘉伟,刘宝旭,龚晓锐,贾晓启,邹维. 软件学报. 2018(05)
[4]WAF规则的自动探测与发现技术研究[J]. 张琦,翟健宏. 智能计算机与应用. 2017(06)
[5]基于动态污点分析的Android隐私泄露检测方法[J]. 刘阳,俞研. 计算机应用与软件. 2017(09)
[6]JavaScript优化编译执行模式下的动态污点分析技术[J]. 梁彬,龚伟刚,游伟,李赞,石文昌. 清华大学学报(自然科学版). 2017(09)
[7]Web应用程序漏洞检测系统设计[J]. 陈春玲,张凡,余瀚. 计算机技术与发展. 2017(09)
[8]一种基于Apache的CSRF防御模块的实现[J]. 王马龙,刘健. 网络安全技术与应用. 2017(03)
[9]浅析CSRF漏洞检测、利用及防范[J]. 严亚萍,胡勇. 通信技术. 2017(03)
[10]Android动态加载与反射机制的静态污点分析研究[J]. 乐洪舟,张玉清,王文杰,刘奇旭. 计算机研究与发展. 2017(02)
硕士论文
[1]面向Web网站安全检测的WAF规则发现技术[D]. 张琦.哈尔滨工业大学 2017
[2]基于爬虫和模糊测试的XSS漏洞检测工具设计与实现[D]. 王云.华南理工大学 2015
[3]基于静态分析的PHP代码缺陷检测[D]. 霍志鹏.北京邮电大学 2015
[4]基于Fuzzing技术的WEB应用程序漏洞挖掘技术研究[D]. 陈景峰.北方工业大学 2012
[5]基于DOM的HTML网页正文信息抽取模块的设计与实现[D]. 苏小鲁.北京邮电大学 2011
[6]基于遗传算法的模糊测试技术研究[D]. 章淑琴.华中科技大学 2011
[7]基于模糊测试的XSS漏洞检测系统研究与实现[D]. 刘为.湖南大学 2010
[8]基于AJAX应用程序的跨站脚本攻击防御方法研究[D]. 张倩婕.湖南大学 2010
[9]变异测试技术应用研究[D]. 茆亮亮.中国科学技术大学 2010
[10]基于HTML标记的主题爬行器的设计与实现[D]. 王涛.电子科技大学 2009
本文编号:3656218
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3656218.html
