當(dāng)今網(wǎng)絡(luò)的迅速發(fā)展,使得Web應(yīng)用在人們生活中扮演著重要角色,然而各種層出不窮的安全漏洞對(duì)此發(fā)展構(gòu)成了嚴(yán)重威脅。通常有兩種方法應(yīng)對(duì)這種威脅:人工檢測(cè)漏洞方法和工具化檢測(cè)漏洞方法。人工檢測(cè)漏洞的方法隨著代碼量的幾何增長越來越力不從心。工具化檢測(cè)漏洞的方法是主流檢測(cè)方式。然而大部分工具都是針對(duì)漏洞基本特征進(jìn)行檢測(cè)的,很少考慮到漏洞的二階形式。二階漏洞比一階漏洞更隱蔽、破壞性更大。本課題在對(duì)Web滲透測(cè)試原理和二階攻擊原理深入研究分析后,提出一種不需Web應(yīng)用源代碼檢測(cè)Web二階安全漏洞的方法——二次爬取掃描檢測(cè)法TCD(Two Crawlings Detection)。該方法通過兩次爬取掃描檢測(cè)Web二階安全漏洞,第一次爬取全站URL、發(fā)送錨點(diǎn),第二次爬取存放錨點(diǎn)的URL,針對(duì)這些可疑URL專項(xiàng)檢測(cè)二階Web安全漏洞。這種方法使得檢測(cè)二階Web安全漏洞的時(shí)間損耗大大減少。TCD檢測(cè)方法彌補(bǔ)了現(xiàn)有工具化檢測(cè)Web安全二階漏洞的不足,為Web安全提供更深層次的保障。

【文章頁數(shù)】：54 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖2-1網(wǎng)站評(píng)級(jí)相關(guān)要求[31]

2.1Web安全滲透測(cè)試方法在講解Web安全[21][22][23][24][25][26]滲透測(cè)試方法之前，我們需要先了解滲透測(cè)[27][28][29][30]。百度百科上的滲透測(cè)試并沒有一個(gè)標(biāo)準(zhǔn)的定義，國外的一些安全組織達(dá)共識(shí)的通用說法是：滲透測(cè)試是通過模擬惡意黑客的攻....

圖2-2網(wǎng)絡(luò)漫畫SQL注入漏洞[32]

2.2.1SQL注入漏洞SQL注入漏洞[11][15][27]是一種對(duì)用戶輸入處理不當(dāng)而導(dǎo)致SQL語句偏離本意的漏洞。絕大多數(shù)的網(wǎng)站管理數(shù)據(jù)時(shí)都會(huì)使用SQL關(guān)系型數(shù)據(jù)庫，當(dāng)用戶的操作涉及到數(shù)據(jù)庫時(shí)，要千萬小心，如果處理不當(dāng)就會(huì)產(chǎn)生SQL注入漏洞，從而給Web....

圖2-3XSS漏洞頁面正常顯示情況

圖2-3XSS漏洞頁面正常顯示情況Figure2-3NormaldisplayofXSSvulnerabilitypage如果name=<script>alert(document.cookie)</script>這時(shí)頁面會(huì)彈出Cookie信息，如圖2....

圖2-4XSS漏洞頁面獲取Cookie信息

圖2-4XSS漏洞頁面獲取Cookie信息Figure2-4XSSvulnerabilitypagetoobtainCookieinforma就是在動(dòng)態(tài)生成HTML文檔時(shí)，HTML語法中有特殊意義本被注入，產(chǎn)生了不該發(fā)生的結(jié)果。HTML語法中有特....

本文編號(hào)：3922727