本文關(guān)鍵詞：Web應(yīng)用常見(jiàn)漏洞的產(chǎn)生場(chǎng)景和檢測(cè)規(guī)則研究

  更多相關(guān)文章： Web安全 漏洞檢測(cè) SQL注入 XSS CSRF 網(wǎng)絡(luò)爬蟲(chóng)

【摘要】：隨著互聯(lián)網(wǎng)的發(fā)展和Web 2.0時(shí)代的到來(lái),在許多行業(yè)領(lǐng)域都建設(shè)了Web應(yīng)用信息站點(diǎn),而網(wǎng)絡(luò)上針對(duì)這些Web應(yīng)用程序的攻擊也越來(lái)越多。Web應(yīng)用出現(xiàn)的安全問(wèn)題已經(jīng)非常迫切,傳統(tǒng)的網(wǎng)絡(luò)安全保護(hù)措施只能有限度地保護(hù)Web應(yīng)用不受攻擊。網(wǎng)絡(luò)防火墻必須放過(guò)80端口的http請(qǐng)求,且大部分Web Server都沒(méi)有仔細(xì)地檢查http請(qǐng)求的合法性,因此Web應(yīng)用程序成了暴露在互聯(lián)網(wǎng)上的靶子。對(duì)Web應(yīng)用安全漏洞的產(chǎn)生場(chǎng)景和檢測(cè)技術(shù)展開(kāi)詳細(xì)研究具有基礎(chǔ)應(yīng)用價(jià)值,也引起了越來(lái)越多信息安全研究人員的注意。針對(duì)層出不窮的Web安全漏洞,本文著重研究了SQL注入、XSS(反射型、DOM型和存儲(chǔ)型)以及CSRF等常見(jiàn)重點(diǎn)漏洞的產(chǎn)生場(chǎng)景和檢測(cè)規(guī)則,此外還研究了比較適合掃描系統(tǒng)存儲(chǔ)和下發(fā)的規(guī)則文本組織形式,以及具有解析javascript腳本功能的爬蟲(chóng)實(shí)現(xiàn)。經(jīng)過(guò)在本地搭建的測(cè)試環(huán)境的測(cè)試,提出的檢測(cè)用例能夠檢測(cè)出大部分常見(jiàn)漏洞,而對(duì)于存儲(chǔ)型XSS漏洞尚無(wú)自動(dòng)化解決辦法。此外檢測(cè)用例也探測(cè)到一些實(shí)際站點(diǎn)的漏洞,說(shuō)明研究的規(guī)則有一定的實(shí)用性。設(shè)計(jì)實(shí)現(xiàn)的爬蟲(chóng)不僅能夠爬出靜態(tài)頁(yè)面中的url鏈接,對(duì)于需要解析javascript才能獲取的鏈接也可以爬取。提出的xml規(guī)則組織文本形式能夠適應(yīng)規(guī)則的擴(kuò)展,也為掃描器的規(guī)則解析和下發(fā)提供便利。
【關(guān)鍵詞】：Web安全 漏洞檢測(cè) SQL注入 XSS CSRF 網(wǎng)絡(luò)爬蟲(chóng)
【學(xué)位授予單位】：暨南大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08
【目錄】：

• 摘要3-4
• ABSTRACT4-8
• 第1章 緒論8-13
• 1.1 課題背景與研究意義8-9
• 1.1.1 課題背景8-9
• 1.1.2 研究意義9
• 1.2 國(guó)內(nèi)外研究現(xiàn)狀和發(fā)展趨勢(shì)9-11
• 1.2.1 國(guó)內(nèi)外研究現(xiàn)狀9-10
• 1.2.2 發(fā)展趨勢(shì)10-11
• 1.3 研究?jī)?nèi)容及研究思路11-12
• 1.3.1 研究?jī)?nèi)容11
• 1.3.2 研究思路11-12
• 1.4 本文結(jié)構(gòu)編排12-13
• 第2章 Web安全基礎(chǔ)理論知識(shí)13-23
• 2.1 Web應(yīng)用基礎(chǔ)知識(shí)13-14
• 2.2 瀏覽器的同源策略14-18
• 2.2.1 同源策略簡(jiǎn)介14-15
• 2.2.2 同源策略的作用15-17
• 2.2.3 同源策略失守17-18
• 2.3 Web漏洞的定義和產(chǎn)生原因18-20
• 2.3.1 安全漏洞的定義18-19
• 2.3.2 Web漏洞的產(chǎn)生原因19-20
• 2.4 Web安全滲透測(cè)試20-21
• 2.4.1 滲透測(cè)試的定義20-21
• 2.4.2 滲透測(cè)試的流程21
• 2.5 本地測(cè)試環(huán)境搭建21-23
• 第3章 檢測(cè)規(guī)則文本和爬蟲(chóng)技術(shù)剖析23-34
• 3.1 檢測(cè)規(guī)則文本23-26
• 3.1.1 檢測(cè)規(guī)則的文本存儲(chǔ)形式23-25
• 3.1.2 檢測(cè)規(guī)則的下發(fā)流程25-26
• 3.2 爬蟲(chóng)技術(shù)剖析26-34
• 3.2.1 爬蟲(chóng)的架構(gòu)和url去重方法26-29
• 3.2.1.1 爬蟲(chóng)的架構(gòu)和調(diào)度26-28
• 3.2.1.2 url去重的方法和相似性28-29
• 3.2.2 爬蟲(chóng)的頁(yè)面分析29-31
• 3.2.3 爬蟲(chóng)的具體實(shí)現(xiàn)和功能測(cè)試31-34
• 3.2.3.1 爬蟲(chóng)的具體實(shí)現(xiàn)31-33
• 3.2.3.2 爬蟲(chóng)的功能測(cè)試33-34
• 第4章 SQL注入漏洞的產(chǎn)生和檢測(cè)34-41
• 4.1 SQL注入漏洞的產(chǎn)生場(chǎng)景和危害34-35
• 4.2 SQL注入漏洞的檢測(cè)規(guī)則35-40
• 4.2.1 基于請(qǐng)求返回頁(yè)面的對(duì)比36-37
• 4.2.2 基于時(shí)間軸的判定方法37-39
• 4.2.3 基于性能測(cè)試函數(shù)BenchMark39-40
• 4.3 SQL注入漏洞的修復(fù)和防范40-41
• 第5章 XSS漏洞的產(chǎn)生和檢測(cè)41-59
• 5.1 跨站腳本漏洞的產(chǎn)生和危害41-43
• 5.2 跨站腳本漏洞的分類和產(chǎn)生場(chǎng)景43-48
• 5.2.1 跨站腳本漏洞的分類43-46
• 5.2.1.1 非持久型XSS漏洞43-44
• 5.2.1.2 持久型XSS漏洞44-45
• 5.2.1.3 基于DOM的XSS漏洞45-46
• 5.2.2 跨站腳本漏洞的產(chǎn)生場(chǎng)景46-48
• 5.3 跨站腳本漏洞的檢測(cè)規(guī)則48-56
• 5.3.1 非持久型XSS漏洞的檢測(cè)48-52
• 5.3.2 持久型XSS漏洞的檢測(cè)52-53
• 5.3.3 基于DOM的XSS漏洞的檢測(cè)53-56
• 5.4 跨站腳本漏洞的修復(fù)和防范56-59
• 第6章 CSRF漏洞的產(chǎn)生和檢測(cè)59-67
• 6.1 跨站請(qǐng)求偽造漏洞的產(chǎn)生場(chǎng)景和危害59-61
• 6.2 跨站請(qǐng)求偽造漏洞的分類61-63
• 6.2.1 CSRF寫(xiě)—更改設(shè)置61-62
• 6.2.2 CSRF寫(xiě)和讀—獲取敏感信息62-63
• 6.3 跨站請(qǐng)求偽造漏洞的檢測(cè)規(guī)則63-65
• 6.4 跨站請(qǐng)求偽造漏洞的修復(fù)和防范65-67
• 第7章 總結(jié)與展望67-68
• 參考文獻(xiàn)68-71
• 致謝71

【參考文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前8條

1 李必云;石俊萍;;Web攻擊及安全防護(hù)技術(shù)研究[J];電腦知識(shí)與技術(shù);2009年31期

2 俞小怡;常艷;許捍衛(wèi);;Web應(yīng)用中的攻擊防御技術(shù)的研究與實(shí)現(xiàn)[J];計(jì)算機(jī)安全;2008年06期

3 劉大勇;Web的安全威脅與安全防護(hù)[J];大眾科技;2005年06期

4 陳春艷;;跨站請(qǐng)求偽造攻擊的基本原理與防范[J];電腦知識(shí)與技術(shù);2014年05期

5 單國(guó)棟,戴英俠,王航;計(jì)算機(jī)漏洞分類研究[J];計(jì)算機(jī)工程;2002年10期

6 楊波,朱秋萍;Web安全技術(shù)綜述[J];計(jì)算機(jī)應(yīng)用研究;2002年10期

7 王蕊;葛昕;;Web應(yīng)用程序跨站腳本漏洞測(cè)試研究[J];科協(xié)論壇(下半月);2008年06期

8 馮鍇;林柏鋼;;跨站腳本漏洞的白盒測(cè)試框架的設(shè)計(jì)和實(shí)現(xiàn)[J];計(jì)算機(jī)工程與科學(xué);2011年10期

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前1條

1 潘古兵;Web應(yīng)用程序滲透測(cè)試方法研究[D];西南大學(xué);2012年

，

本文編號(hào)：934732