欢迎来到天天文库
浏览记录
ID:50116949
大小:2.08 MB
页数:57页
时间:2020-03-06
《基于模糊测试的Web应用漏洞发掘技术研究与实现.pdf》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、基于模糊测试的Web应用漏洞发掘技术研究与实现李政2015年01月中图分类号:TP391.1UDC分类号:004.8基于模糊测试的Web应用漏洞发掘技术研究与实现作者姓名李政学院名称计算机学院指导教师樊秀梅教授答辩委员会主席祝烈煌申请学位工学硕士学科专业计算机科学与技术学位授予单位北京理工大学论文答辩日期2015年01月ResearchandImplementationofWebApplicationsVulnerabilitiesDetectionbasedonFuzzingCandidateName:ZhengLiSchoolorDepartm
2、ent:SchoolofComputerScienceFacultyMentor:Prof.XiumeiFanChair,ThesisCommittee:Prof.LiehuangZhuDegreeApplied:MasterofScienceMajor:ComputerScienceandTechnologyDegreeby:BeijingInstituteofTechnologyTheDateofDefence:January,2015研究成果声明本人郑重声明:所提交的学位论文是我本人在指导教师的指导下进行的研究工作获得的研究成果。尽我所知,文
3、中除特别标注和致谢的地方外,学位论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得北京理工大学或其它教育机构的学位或证书所使用过的材料。与我一同工作的合作者对此研究工作所做的任何贡献均已在学位论文中作了明确的说明并表示了谢意。特此申明。签名:日期:北京理工大学硕士学位论文摘要随着互联网技术迅猛发展,Web应用作为各大互联网业务的重要组成部分为用户提供直观便捷的服务。用户通过Web应用享受着互联网时代带来的高效与快捷。然而,由于Web应用开发时间受限、开发人员水平参差不齐等原因致使Web应用存在大量已知和未知的漏洞,这些漏洞危害极大,威胁网
4、络的安全。Web应用漏洞发掘与防护自然成了学术界与工业界共同关注的焦点。为了丰富Web应用漏洞发掘所需的测试数据集,本文提出一种新的模糊测试用例生成方法,弥补了现有Web应用漏洞测试技术及工具采用固定测试用例、无法动态生成与扩展的问题。提出一种基于模板的动态组合生成测试用例的方法,对典型测试用例进行归类,生成不同的模板库,再通过模板库规则和随机变化动态生成大量测试用例,从而极大丰富测试用例的变化,提高了Web应用漏洞检测率,使Web应用模糊测试成为可能。实验结果表明,使用该方法较生成测试用例的漏洞测试工具较同类工具发现了更多Web应用漏洞。实验证明
5、本方法有效可行。针对SQL注入(SQLI)与跨站脚本(XSS)两大漏洞,本文对Web应用漏洞发掘系统进行设计和实现,改善了现有Web应用漏洞发掘系统中不合理的模块与结构。本文设计的测试工具对现实Web应用进行了全面测试,发现了现实Web应用中的诸多漏洞。关键词:Web应用漏洞、漏洞发掘、测试用例、模糊测试、模板组合I北京理工大学硕士学位论文AbstractWiththerapiddevelopmentofInternettechnology,WebapplicationsasanimportantpartofthemajorInternetserv
6、icestoprovideuserswithanintuitiveandefficientservice.UsersenjoytheefficientandfastbringbyInternettechnology.TherearealotofknownandunknownvulnerabilitiesinWebapplicationsbecauseofthelimitedWebapplicationdevelopmenttimeanddevelopers’mixedskills.Thesevulnerabilitieshavedonegreath
7、armandthreatennetworksecurity.Webapplicationvulnerabilitydiscoveryandprotectionbecamethefocusofacademiaandindustrynaturally.Thispaperproposedanewapproachofgeneratingfuzzingtestingvectors,whichcanexpandtestingdatasetvastlyandmakeupfordeficienciesthattestingvectorsarefixedandnon
8、-extendableinexistingmethodsandtoolsinWebapplicationsvulnerab
此文档下载收益归作者所有