【摘要】：如今,隨著Web技術(shù)的高速發(fā)展和互聯(lián)網(wǎng)的大眾化,使得Web應(yīng)用程序已經(jīng)成為黑客攻擊的主要目標,由Web應(yīng)用程序的安全問題所引發(fā)的財產(chǎn)損失數(shù)以億計。因此,設(shè)計一套漏洞誤報率和漏報率低,且檢測準確率和穩(wěn)定性高的Web漏洞挖掘機制,并有效掃描出待測Web應(yīng)用程序中的安全漏洞,從而降低Web應(yīng)用系統(tǒng)受到網(wǎng)絡(luò)攻擊的概率,具有十分重要的理論意義和實用價值。本文的研究內(nèi)容為模糊測試技術(shù)在Web漏洞挖掘領(lǐng)域中的應(yīng)用,并對模糊測試技術(shù)當前存在的不足之處進行了改進。在本文的主要研究工作包括以下兩個方面:(1)本文對傳統(tǒng)模糊測試技術(shù)中網(wǎng)絡(luò)爬蟲模塊的不足進行了分析,針對爬取覆蓋率低的問題,設(shè)計了基于頁面狀態(tài)的網(wǎng)絡(luò)爬蟲算法來提升模糊測試技術(shù)中漏洞測試點的有效性。該算法首先對目標Web應(yīng)用程序進行建模,通過對頁面模型進行分類和篩選來避免網(wǎng)絡(luò)爬蟲爬取具有相似結(jié)構(gòu)的URL以及表單注入點,并防止陷入爬取死循環(huán)。通過嘗試改變目標頁面的狀態(tài),網(wǎng)絡(luò)爬蟲可以獲取到相同頁面下更多的漏洞測試點。實驗結(jié)果表明,利用基于頁面狀態(tài)的網(wǎng)絡(luò)爬蟲可以有效提升模糊測試技術(shù)的測試覆蓋率。(2)針對當前模糊測試技術(shù)中測試用例生成步驟所存在的問題,引入了遺傳算法來對模糊測試技術(shù)進行改進。本文所實現(xiàn)的算法首先采用格雷碼對測試用例個體進行基因編碼,并利用本文所設(shè)計的適應(yīng)度函數(shù)來對進化結(jié)果進行篩選和過濾,通過對種群個體進行選擇、自適應(yīng)交叉和自適應(yīng)變異,實現(xiàn)了對測試用例的優(yōu)化。實驗結(jié)果表明,本文所設(shè)計的方法能夠提升測試用例種群中個體的平均適應(yīng)度,并通過提升測試用例的攻擊性來降低漏洞掃描的漏報率和誤報率。
【圖文】：

且其中有６８％的中國網(wǎng)民認為自身比較或非常依賴互聯(lián)網(wǎng)。在２０１７年全年的網(wǎng)絡(luò)安全逡逑事件中個人信息泄露問題占比最高，達到了邋２７．１％。到２０１７年１２月為止，，中國網(wǎng)站逡逑數(shù)量為５３３萬個，年增長率為１０．６％。中國網(wǎng)站數(shù)量增長狀況調(diào)查結(jié)果如圖１－１所示：逡逑中國網(wǎng)站數(shù)量逡逑萬個逡逑５３３逡逑４８２逡逑３３５邋Ｈ邋Ｈ逡逑ＩＶ邋■邋ｒ＇．…ｆｆ邐■逡逑Ｌ煖：：逡逑２０１１邐２０１２邐２０１３邐２０１４邐２０１５邐２０１６邐２０１７逡逑來源：ＧＮＳＩＩ［中匪聯(lián)網(wǎng)絡(luò)發(fā)麒~=ｉｉ？查邐２０１７１２逡逑圖１－１中國網(wǎng)站數(shù)量增長狀況調(diào)查結(jié)果逡逑Ｆｉｇ．邋１－１邋Ｓｕｒｖｅｙ邋ｒｅｓｕｌｔｓ邋ｏｆ邋ｔｈｅ邋ｇｒｏｗｔｈ邋ｏｆ邋Ｃｈｉｎｅｓｅ邋ｗｅｂｓｉｔｅｓ逡逑由此可見，Ｗｅｂ應(yīng)用程序已經(jīng)逐漸融入到了人們的日常生活之中，并正在慢慢改變逡逑人們的生活方式。正如之前所介紹的那樣，Ｗｅｂ應(yīng)用程序由于其具有兩面性，因此當逡逑Ｗｅｂ應(yīng)用程序在發(fā)揮其正面作用的同時，其中存在的各種安全漏洞也可能導(dǎo)致Ｗｅｂ應(yīng)逡逑用程序遭受網(wǎng)絡(luò)犯罪分子的攻擊，從而影響經(jīng)濟發(fā)展和社會穩(wěn)定［１Ｑ］。逡逑另外，隨著網(wǎng)絡(luò)安全問題的影響力逐漸增大，越來越多的安全廠商也在不斷完善主逡逑機操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全架構(gòu)。目前，絕大多數(shù)組織都會在自己的網(wǎng)絡(luò)邊界部署硬逡逑件／軟件防火墻、入侵防御系統(tǒng)（ＩＤＳ）和入侵檢測系統(tǒng)（ＩＰＳ）等安全設(shè)備

如果Ｗｅｂ應(yīng)用管理員較少查看Ｉｎｔｅｒｎｅｔ信息服務(wù)（ＩＩＳ）日志，那么即使ＳＱＬ逡逑注入很長一段時間，管理員都不會察覺，從而使Ｗｅｂ應(yīng)用在長時間內(nèi)遭受ＳＱＬ注入攻逡逑擊。ＳＱＬ注入攻擊流程如圖２－６所不：逡逑缺少對輸入的合逡逑法性判斷逡逑ｐ－構(gòu)詿特殊數(shù)據(jù)庫ａ靡ｉｆ！句—＾邐－動態(tài)數(shù)裾庫逡逑７邐ｗｄＴ服務(wù)器邐數(shù)據(jù)庫逡逑攻由＇者邐ｓ邋、邐Ｚ邋★、邐，逡逑￣獲得數(shù)據(jù)庫信息＾邐返回數(shù)據(jù)庫信息￣逡逑、匆／公逡逑＇－＇ｈ邐－入ｇ械壞夕修改數(shù)據(jù)Ｎｙ逡逑后臺管ａ員邐ｙ逡逑圖２－６邋ＳＱＬ注入攻擊流程逡逑Ｆｉｇ．邋２－６邋ＳＱＬ邋ｉｎｊｅｃｔｉｏｎ邋ａｔｔａｃｋ邋ｆｌｏｗ逡逑２．４．２邋ＳＱＬ注入的危害逡逑ＳＱＬ注入漏洞存在的危害有很多，最直接的一個危害就是會導(dǎo)致服務(wù)器的數(shù)據(jù)庫信逡逑息泄露。如果攻擊者成功通過漏洞查詢了數(shù)據(jù)庫，數(shù)據(jù)庫中存放的用戶隱私信息就會被逡逑泄露，而這些隱私信息很可能成為不法分子對用戶騷擾、詐騙的依據(jù)。如果黑客可以執(zhí)逡逑行數(shù)據(jù)庫指紋，就可以修改數(shù)據(jù)庫類，從而篡改Ｗｅｂ應(yīng)用程序的網(wǎng)頁內(nèi)容。更嚴重的，逡逑
【學(xué)位授予單位】：廣西大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2018
【分類號】：TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 魏浩杰;;WEB課件的開發(fā)及應(yīng)用[J];教育革新;2006年05期

2 馮前進;羅敏敏;;淺談web設(shè)計的中文問題[J];南方醫(yī)學(xué)教育;2006年01期

3 周瑞;閻海玲;潘華賢;;面向復(fù)雜網(wǎng)絡(luò)的Web社區(qū)發(fā)現(xiàn)方法研究[J];現(xiàn)代經(jīng)濟信息;2017年24期

4 席先杰;;基于響應(yīng)式WEB設(shè)計在線學(xué)習資源系統(tǒng)設(shè)計與實現(xiàn)[J];林區(qū)教學(xué);2017年01期

5 陳衛(wèi)兵;李季;;基于WEB的虛擬物理實驗室建設(shè)探討[J];物理通報;2004年01期

6 陳香;;淺談高職院校Web在線考試系統(tǒng)的應(yīng)用[J];信息系統(tǒng)工程;2016年11期

7 陳濤;;基于Web的質(zhì)量測評系統(tǒng)的設(shè)計與實現(xiàn)[J];電子設(shè)計工程;2016年20期

8 陳俊;劉高川;李罡風;楊駿;;基于Web的地震前兆應(yīng)用數(shù)據(jù)庫管理系統(tǒng)設(shè)計[J];四川地震;2016年04期

9 吳思源;;Web數(shù)據(jù)挖掘技術(shù)在電子商務(wù)中的應(yīng)用[J];智能城市;2016年12期

10 崔曙光;;基于Web的發(fā)電機狀態(tài)監(jiān)控系統(tǒng)的設(shè)計[J];現(xiàn)代經(jīng)濟信息;2016年23期

相關(guān)會議論文 前10條

1 萬志利;單爽;;基于Web服務(wù)的單點登錄研究與實現(xiàn)[A];全國冶金自動化信息網(wǎng)2016年會論文集[C];2016年

2 劉麗;方蘭;李遠玲;崔益民;;基于故障矩陣的Web服務(wù)故障診斷框架[A];中國通信學(xué)會第六屆學(xué)術(shù)年會論文集（上）[C];2009年

3 唐章蔚;;基于網(wǎng)絡(luò)的Web虛擬實驗室建構(gòu)理論探索[A];計算機與教育：應(yīng)用促進學(xué)與教創(chuàng)新——全國計算機輔助教育學(xué)會第十三屆學(xué)術(shù)年會論文集[C];2008年

4 章國英;葉春陽;鄧秋軍;;試論遠程網(wǎng)絡(luò)教學(xué)及其Web頁面設(shè)計[A];計算機與教育：迎接21世紀教育信息化的挑戰(zhàn)——全國計算機輔助教育學(xué)會第九屆學(xué)術(shù)年會[C];1999年

5 楊青;;基于Web的遠程測試系統(tǒng)的設(shè)計探討[A];計算機與教育——全國計算機輔助教育學(xué)會第十屆學(xué)術(shù)年會論文集[C];2001年

6 李樹巖;潘學(xué)標;;人體舒適度“氣候指數(shù)”Web評價系統(tǒng)的建立與應(yīng)用[A];第26屆中國氣象學(xué)會年會氣候環(huán)境變化與人體健康分會場論文集[C];2009年

7 王斌;劉大成;;Web性能測試中認識誤區(qū)的分析與研究[A];2008年中國高校通信類院系學(xué)術(shù)研討會論文集（下冊）[C];2009年

8 楊弘f

本文編號：2696643