返回
基于遗传算法和fuzzing技术的web应用漏洞挖掘研究

基于遗传算法和fuzzing技术的web应用漏洞挖掘研究

ID:35070877

大小:2.86 MB

页数:61页

时间:2019-03-17

基于遗传算法和fuzzing技术的web应用漏洞挖掘研究_第1页
基于遗传算法和fuzzing技术的web应用漏洞挖掘研究_第2页
基于遗传算法和fuzzing技术的web应用漏洞挖掘研究_第3页
基于遗传算法和fuzzing技术的web应用漏洞挖掘研究_第4页
基于遗传算法和fuzzing技术的web应用漏洞挖掘研究_第5页
资源描述:

《基于遗传算法和fuzzing技术的web应用漏洞挖掘研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、学校代码:10663学号:4201310000753贵州师范大学硕士学位论文基于遗传算法和Fuzzing技术的Web应用漏洞挖掘研究ResearchonWebApplicationVulnerabilityMiningBasedonGeneticAlgorithmandFuzzingTechnology专业名称:计算机科学与技术专业代码:081203研究方向:网络通信与信息安全申请人姓名:张思聪导师姓名:谢晓尧(教授)二零一六年五月贵州师范大学摘要随着互联网的发展,基于B/S架构的Web应用系统逐渐取代了传统的基于C/S架构的应用系统,网络用

2、户的很多个人隐私信息都通过Web应用进行传输和处理,这使得Web应用成为网络攻击的重灾区。因而,建立一套高效、准确的Web应用漏洞挖掘机制,及时发现目标系统中的安全问题,从而减少目标系统被恶意攻击的可能,就具有十分重要的理论意义和实用价值。首先,本文在比较了传统的白盒、黑盒和灰盒测试技术的基础上,分析研究了Fuzzing技术的基本原理、基本测试流程及其涉及的核心技术。同时,针对Web应用漏洞挖掘的特点,分析并介绍了常见的Web应用安全漏洞的基本原理。其次,针对Fuzzing技术存在的较大盲目性,通过引入遗传算法来优化Web应用漏洞挖掘的测试数

3、据,提高测试数据的质量,降低其随机性,以此提高漏洞挖掘的效率。主要的研究内容包括:设计了基于漏洞特征集的适应度函数,针对Web漏洞挖掘测试用例的特殊性优化了传统的两点交叉算法和基本位变异算法。最后,设计了基于遗传算法的Web应用模糊测试器(WebFuzzerBasedonGeneticAlgorithm,WFBGA),该模糊测试器主要包括:输入向量构造模块、模糊测试数据生成模块、遗传优化模块、测试数据执行模块和异常检测模块,并基于开源Web模糊测试器WebFuzz实现了WFBGA的主程序,基于Python语言实现了WFBGA的遗传优化模块。其

4、中,输入向量构造模块用于产生模糊测试的输入变量集合;在测试数据生成模块中,则设计了探索式和启发式两种测试数据生成方式;遗传优化模块则主要完成对初始测试数据的优化;测试数据执行模块主要完成了测试数据的封装与发送;异常检测模块则主要完成的是对服务器返回结果的分析与记录。实验结果表明WFBGA在注入型漏洞、XSS和CSRF上的挖掘性能要较优于WebFuzz和SPIKE等开源模糊测试器。但WFBGA在安全配置错误和未加密传输等漏洞类型上的挖掘性能还有待改善。关键词:Web应用;漏洞挖掘;Fuzzing技术;遗传算法;模块II贵州师范大学Abstrac

5、tWiththedevelopmentofInternet,WebapplicationsystembasedonB/SarchitectureisgraduallyreplacingtraditionalapplicationsystembasedonC/Sarchitecture.AlotofprivacyinformationofInternetusestransfersandgetsprocessedonWebapplication.AllofthesemakeWebapplicationbecomethehardesthitarea

6、ofcyberattacks.BuildingahigheffectiveandhighaccuratemechanismofWebapplicationvulnerabilitiesminingtofindoutsecurityproblemsintargetsystemsandreducethepossibilityoftargetsystemsbeingattackedmaliciouslyhasimportanttheoreticalsignificanceandpracticalvalue.Firstlythispaperanaly

7、zesandstudiesthebasicprinciple,thebasictestingprocedureandcoretechnologyofFuzzingtechnologyonthebasisofcomparingtraditionalwhitebox,blackboxandgreyboxtestingtechnology.Meanwhile,analyzingandintroducingthebasicprincipleofcommonWebapplicationsecurityvulnerabilitiesAccordingto

8、thecharacteristicsofWebapplicationvulnerabilitiesmining.Secondlyaccordingtotheblin

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。