Web輸入驗(yàn)證脆弱性檢測方法研究與改進(jìn)
發(fā)布時(shí)間:2022-01-04 15:01
隨著web技術(shù)的不斷發(fā)展,基于web的應(yīng)用越來越流行,針對web的攻擊也愈加頻繁,因此web應(yīng)用的安全問題正引起廣泛關(guān)注。web應(yīng)用遭受安全攻擊的來源之一就是用戶輸入,為了防范web攻擊,需要對用戶輸入進(jìn)行有效驗(yàn)證。事實(shí)上,在web應(yīng)用中存在著驗(yàn)證不足的問題,因?yàn)轵?yàn)證不足導(dǎo)致程序中存在輸入驗(yàn)證脆弱性。在輸入驗(yàn)證脆弱性檢測過程中,評價(jià)檢測效果的重要指標(biāo)之一就是能否對web應(yīng)用中的驗(yàn)證操作進(jìn)行完整和有效的分析。在檢測脆弱性時(shí),將約束提取和約束求解相結(jié)合是當(dāng)前web脆弱性檢測的常見模式。該模式能對提取到的表示驗(yàn)證的約束進(jìn)行評價(jià),可以有效降低分析中的誤報(bào)率和提升分析結(jié)果的準(zhǔn)確度,相比其他模式具有優(yōu)勢。本文對這一模式中的兩個(gè)階段做了進(jìn)一步研究,發(fā)現(xiàn)在約束提取完整性和評價(jià)準(zhǔn)確性方面,這種模式還存在不足,并提出改進(jìn)方法。1.分析了web應(yīng)用中的參數(shù)驗(yàn)證機(jī)制和驗(yàn)證不足導(dǎo)致的脆弱性——輸入驗(yàn)證脆弱性。根據(jù)脆弱性檢測的需要對驗(yàn)證操作進(jìn)行分類,并總結(jié)了輸入驗(yàn)證脆弱性的危害及常見的攻擊。2.總結(jié)了輸入驗(yàn)證脆弱性檢測的主要方法。主要介紹了這些方法的理論基礎(chǔ)和適應(yīng)范圍,比較了這些方法的優(yōu)缺點(diǎn)。發(fā)現(xiàn)傳統(tǒng)污點(diǎn)分析不能...
【文章來源】:南京大學(xué)江蘇省 211工程院校 985工程院校 教育部直屬院校
【文章頁數(shù)】:77 頁
【學(xué)位級別】:碩士
【文章目錄】:
摘要
Abstract
第一章 緒論
1.1 研究背景
1.2 研究內(nèi)容
1.3 本文組織
第二章 Web輸入驗(yàn)證及脆弱性
2.1 Web輸入驗(yàn)證
2.1.1 從表現(xiàn)形式分類
2.1.2 從驗(yàn)證能力分類
2.2 Web輸入驗(yàn)證脆弱性
2.2.1 SQL注入脆弱性
2.2.2 跨站腳本(XSS)
2.3 本章小結(jié)
第三章 Web脆弱性分析研究
3.1 約束提取
3.1.1 污點(diǎn)分析
3.1.2 符號執(zhí)行
3.1.3 分析比較
3.2 約束求解
3.2.1 字符串分析
3.2.2 字符串分析用于脆弱性檢測
3.2.3 不足之處
3.3 本章小結(jié)
第四章 改進(jìn)的web輸入驗(yàn)證脆弱性檢測
4.1 改進(jìn)動(dòng)機(jī)
4.2 驗(yàn)證提取
4.2.1 域粒度污染標(biāo)記
4.2.2 污染驅(qū)動(dòng)的切片
4.3 驗(yàn)證評價(jià)
4.3.1 輸入字符集劃分
4.3.2 驗(yàn)證操作分類
4.3.3 最小分析域
4.3.4 變量名相關(guān)的驗(yàn)證策略
4.4 改進(jìn)的web輸入驗(yàn)證脆弱性檢測方案
4.5 本章小結(jié)
第五章 設(shè)計(jì)與實(shí)現(xiàn)
5.1 系統(tǒng)框架
5.2 平臺(tái)介紹
5.2.1 Pixy
5.2.2 dk.brics.automaton和SUSHI
5.3 驗(yàn)證提取模塊
5.3.1 污染驅(qū)動(dòng)的切片子模塊
5.4 驗(yàn)證評價(jià)模塊
5.4.1 粗粒度分析子模塊
5.4.2 細(xì)粒度分析子模塊
5.5 本章小結(jié)
第六章 實(shí)驗(yàn)過程與結(jié)果
6.1 實(shí)驗(yàn)對象
6.2 實(shí)驗(yàn)結(jié)果與分析
6.2.1 包含檢查型驗(yàn)證操作的驗(yàn)證圖
6.2.2 驗(yàn)證圖分類情況
6.2.3 包含有意義變量名的驗(yàn)證圖
6.2.4 str_replace操作
6.2.5 常量相關(guān)的連接操作
6.3 本章小結(jié)
第七章 總結(jié)與展望
7.1 本文工作的創(chuàng)新點(diǎn)
7.2 進(jìn)一步工作
參考文獻(xiàn)
簡歷與科研成果
致謝
【參考文獻(xiàn)】:
期刊論文
[1]字符串分析研究進(jìn)展[J]. 梅宏,王嘯吟,張路. 軟件學(xué)報(bào). 2013(01)
本文編號:3568554
【文章來源】:南京大學(xué)江蘇省 211工程院校 985工程院校 教育部直屬院校
【文章頁數(shù)】:77 頁
【學(xué)位級別】:碩士
【文章目錄】:
摘要
Abstract
第一章 緒論
1.1 研究背景
1.2 研究內(nèi)容
1.3 本文組織
第二章 Web輸入驗(yàn)證及脆弱性
2.1 Web輸入驗(yàn)證
2.1.1 從表現(xiàn)形式分類
2.1.2 從驗(yàn)證能力分類
2.2 Web輸入驗(yàn)證脆弱性
2.2.1 SQL注入脆弱性
2.2.2 跨站腳本(XSS)
2.3 本章小結(jié)
第三章 Web脆弱性分析研究
3.1 約束提取
3.1.1 污點(diǎn)分析
3.1.2 符號執(zhí)行
3.1.3 分析比較
3.2 約束求解
3.2.1 字符串分析
3.2.2 字符串分析用于脆弱性檢測
3.2.3 不足之處
3.3 本章小結(jié)
第四章 改進(jìn)的web輸入驗(yàn)證脆弱性檢測
4.1 改進(jìn)動(dòng)機(jī)
4.2 驗(yàn)證提取
4.2.1 域粒度污染標(biāo)記
4.2.2 污染驅(qū)動(dòng)的切片
4.3 驗(yàn)證評價(jià)
4.3.1 輸入字符集劃分
4.3.2 驗(yàn)證操作分類
4.3.3 最小分析域
4.3.4 變量名相關(guān)的驗(yàn)證策略
4.4 改進(jìn)的web輸入驗(yàn)證脆弱性檢測方案
4.5 本章小結(jié)
第五章 設(shè)計(jì)與實(shí)現(xiàn)
5.1 系統(tǒng)框架
5.2 平臺(tái)介紹
5.2.1 Pixy
5.2.2 dk.brics.automaton和SUSHI
5.3 驗(yàn)證提取模塊
5.3.1 污染驅(qū)動(dòng)的切片子模塊
5.4 驗(yàn)證評價(jià)模塊
5.4.1 粗粒度分析子模塊
5.4.2 細(xì)粒度分析子模塊
5.5 本章小結(jié)
第六章 實(shí)驗(yàn)過程與結(jié)果
6.1 實(shí)驗(yàn)對象
6.2 實(shí)驗(yàn)結(jié)果與分析
6.2.1 包含檢查型驗(yàn)證操作的驗(yàn)證圖
6.2.2 驗(yàn)證圖分類情況
6.2.3 包含有意義變量名的驗(yàn)證圖
6.2.4 str_replace操作
6.2.5 常量相關(guān)的連接操作
6.3 本章小結(jié)
第七章 總結(jié)與展望
7.1 本文工作的創(chuàng)新點(diǎn)
7.2 進(jìn)一步工作
參考文獻(xiàn)
簡歷與科研成果
致謝
【參考文獻(xiàn)】:
期刊論文
[1]字符串分析研究進(jìn)展[J]. 梅宏,王嘯吟,張路. 軟件學(xué)報(bào). 2013(01)
本文編號:3568554
本文鏈接:http://www.sikaile.net/guanlilunwen/ydhl/3568554.html
最近更新
教材專著
