欢迎来到天天文库
浏览记录
ID:35105106
大小:7.43 MB
页数:82页
时间:2019-03-18
《web应用系统漏洞检测技术研究与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、广东工业大学硕±学位论文_一-(工程硕±)一,-、:?.Web应用系统漏洞检测技术研究与实现洪俊斌二〇—六年五月学校代号分类号::11845UDC2111305069:密级:学号;广东工业大学硕±学位论文工程硕±()Web应用系统漏洞检测技术研究与实现洪俊斌校内导师姓名、职称:柳毅副教授校外导师姓名、职称;许正强高工学科(专业)或领域名称:计算机技术学生所属学院:计算机学院二〇—论文答辩日期:六年五月ADissertationSubmited10anonofchnoo:加gdgU
2、niversityTelgyfortheDegreeofMaster(Mas化rofEngineering)ResearchandImplementationofWebApplicationVulnerabilitiesDetectinTechnologgyCand:HidateongJunBinSupervisor:AssociateProf.LiuYiMay2016SchooSlofComputercienceandTechnologyGuandonUnive巧itofTechnologgyg
3、yGuanzhouGuandonP.R.China510006g,g,g,摘要摘要随着Web技术的发展,网站给人们带来的体验越来越好。特别是Web2.0,告别-。了沉重的请求返回的模式,采用更轻巧的局部刷新模式,让用户体验得到极大的提高ax技术在Web2一其中,Aj.0中占据了主导地位。然而Ajax技术将部分逻辑处理从服务器端转移到客户端,增加eb应,,暴露了更多的接口了许多针对W用程序的安全威胁其中严重程度最高的就是SQL注入攻击和跨站脚本攻击。国际开源安全组织公布的十种最严重的W洗应用程序安全漏洞排行榜中可知L注入攻击和跨站脚本攻击一,SQ直
4、处于前H的位置。。这些漏洞可在用户窒不知情的情况下进行攻击,威胁性很大就目前而言,采取较多的行为都是被动的防范措施,比如防火墙等。送样做明显忽略应用程序级别的安全间题,使么在高层面缺乏有效的防范方式。因此依据XSS跨站脚本和SQL注入等常见漏洞的产生原因和检测方法,设计并实现Web应用安全漏洞自动检测系统作为辅助工具。,提早发现应用程序级别的安全问题可W防患于未然本文所做的研巧工作包括1^下的几个方面:一(1)重点分析Web应用程序的工作流程和可利用的各种安全漏洞。针对跨站脚本攻击和SQL注入的攻击原理及其分类进行综述,并给出漏涧检测的研巧现状,同时对前人
5、所研巧的内容进行比较分析。2一()分析不同种类的网络爬虫过程中存在的问题,设计个高效并合适本系统的SS跨站脚本漏洞和SL注入漏洞攻击手段的研究,创新性网络爬虫,然后通过对XQ的提出了攻击向量的功能类型拆分与随机组合W及变形规则来提高系统检测的准确性。(3)提出基于页面代码行为的漏洞检测算法和基于JavaScript中的XMLHttpRequest检测算法,根据网络爬虫提取到的输入点,注入错误数据,运用动态检测技术,细粒度的检测Web应用中存在的XSS跨站脚本漏洞和SQL注入漏洞。(4)对系统进行详细的设计,运用C#实现漏洞检测工具SXFINDER。详细说明整
6、个系统的流程和各个功能子模块的设计。(5)将系统运用到真实的项目中,对系统进行了详细功能模块测试和性能测试,并与其它安全漏洞检测软件进行对比,验证本文提出的算法具有可行性、设计的软件具有可靠性。I广东王业大学硕去学位论文本文提出的方法中主要有W下创新点!(1)对网络爬虫进行改进,主要在兰方面:①合适的爬虫搜索策略:②正确的URL合法性要求;⑤高效率的去除重复URL。一(2)提出了种攻击向量的拆分与随机组合化及变形规则的方法来生成攻击向量。主要思想是将攻击向量按不同功能类型拆分到不同的模板库,再通过模板库之间随机组合与加入变形规则来生成大量的
7、,多变化的攻击向量。一W(3)提出了种基于页面代码行为的eb应用的漏洞检测方法,实验证明有较化的误报率和较小的时间开销。一XMLHtR(4)提出了种基于页面JavaScript代码中euest对象分析算法pq,实现了针对AjaxWeb应用程序更全面的检测。(5)运用C#编程技术,设计并实现了用于检测说S跨站脚本漏洞和S化注入漏洞的系统原型SXFINDER。关键词:XSS漏洞;SQ
此文档下载收益归作者所有
