欢迎来到天天文库
浏览记录
ID:35059080
大小:3.92 MB
页数:58页
时间:2019-03-17
《基于web客户端的跨站脚本漏洞的检测技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、I、—’町...V''''.一-—r'-,;..V.’年卑一古1燕’’:々巧309.2分类号:密级<、':.片:巧?I'-‘:■V‘.一、'麵2?:.石单位代码.0国际关系学院硕±硏究生学位论文论文题目:基于web客户端的跨站脚本漏洞的检测巧术研究学号;2013607008-.?*",—.''?T二:,■一-—?'…..三.f"作者:徐奇片.'‘V...i’—专业名務
2、:通信与信息系统记T'研究方向:信息安全艺校内学术导师:刘月琴:…一'校外实贱导师:入学时间;2013年9月.P,^论文完成时间:2016年6月^^;、?’、-'?、-丫.?:-<?广-.一一、‘‘,岭■?-.、...'々';.八v.■*-..V■A?^-.v.‘.‘-‘.一'|-■---J>r-I‘I人.‘一■云^^一'..、-'-?一‘.、??■-'■
3、、...'*"?T>ri..、'、、*....*..而基于web客户端跨站脚本攻击的检测技术研究StudyontheDetectionTechnologyofCross-SiteScriptingAttackBasedonWebClient研究生姓名:徐奇指导教师姓名:刘月琴国际关系学院中国北京,100091MasterDegreeCandidate:XuQiSupervisor:LiuYueqinUniversityofInternationalRelations12Poshan
4、gcun,HaidianDistrictBeijing,P.R.China,100091原创性声明本人郑重声明如下:所呈交的学位论文,是本人在导师的指导下,独立进行研究工作所取得的成果。除文中己经注明引用和致谢的内容外,本论文不含任何其他个人或集体已经发表或撰写过。对本文的研巧做出重要贡献的个人巧集体的作品或成果,均已在文中IU明确方式标明。本声明的法律结果完全由本人承担。论文作者签名;曰期:如乂年/月<^曰学位论文使用授权声明本人同意在校攻读学位期间所撰写学位论文的知识
5、产权属于国际关系学院。本人保证毕业离校后,发表本论文或使用本论文成果时署名单位仍为国际关系学院。学校有权保留本学位论文并向国家主管部口或其他指定机构交提论文的电子版和纸质版,允许本论文被查阅和借阅,有权将本论文的全部或部分内容编入《中国优秀博硕±学位论文全文数据库》和《中国知识资源总库》进行检索,可W采用影印、缩影或其它复制手段保存学位论文,可W公开本学位论文的全部或部分内容。""本学位论文属于(请在W上相应方框内打V)公开£/保密□,按照《国际关系学院关于涉密硕±学位论文的
6、管理办法》解密后适用本授权书。论文作者签名:供曰期砂乂年/月曰导师对学位论文的终审意见论文作者己结合答辩委员会的意见修改了论文,同意提交此论文存档。导师签名;L曰期;年月曰摘要摘要随着WEB2.0时代的到来,越来越多的Web应用程序加入了交互功能。也正是在这样的背景下,大量的跨站脚本漏洞被黑客攻击者挖掘出来,引起了企业和研究机构的高度重视。当前挖掘跨站脚本漏洞的主要方式是使用自动化扫描工具或代码审计。自动化扫描工具主要是使用爬虫技术来扫描应用程序中可能存在的漏洞,但是自
7、动化扫描工具并不能很好的检测出应用程序中存在的存储型跨站脚本漏洞,导致漏洞的检测准确率不高。而代码审计是一种手工化的操作,虽然能保证代码挖掘的成功率,但是漏洞的检测效率却十分低下,还要求安全测试人员有较高的业务能力。所以本文在Web客户端的环境下,在渗透测试规则的指导下,利用BurpSuite工具对网站的输入输出数据进行详细的收集,之后对收集的数据进行分析,确定可能会产生跨站脚本漏洞的位置。之后利用手动的方式,对这些敏感位置进行手工测试,确定测试的Web应用程序中是否有存在跨站脚本漏洞。这种方式与自动化扫描
8、漏洞的方式相比,由于在数据收集之后会采取手动的方式去尝试触发漏洞,所以可以弥补自动化扫描工具漏洞检测准确率不高的缺点,并且相比代码审计来说,漏洞检测效率提升了很多。此外,由于当前在渗透过程中测试用例集的选取大多都是采取随机选取的方式,更多的是依靠个人的漏洞测试经验,这样也就会导致测试的效率受到影响。因此,本文在此基础上,分析全部三种类型的跨站脚本漏洞的产生原因,从数据污染源入手,提出了基于污染源场景的测试用例选取
此文档下载收益归作者所有
