基于污點分析與模糊測試的XSS漏洞檢測方法
發(fā)布時間:2022-07-07 10:01
隨著web2.0技術的快速發(fā)展和互聯(lián)網行業(yè)的普及化,web應用程序存在的安全漏洞問題也引起了廣泛關注。跨站腳本漏洞是近些年來的研究熱點,傳統(tǒng)的XSS漏洞檢測方式主要是基于單一的污點分析或者遺傳算法等檢測技術,容易造成用戶數(shù)據的泄漏,檢測效率低。因此,本文基于反射型XSS漏洞的研究現(xiàn)狀和特點,拋開單一的研究技術,結合已有的理論和方法對XSS漏洞檢測技術進行改進,利用污點分析和模糊測試技術相結合的方式展開了反射型跨站腳本XSS漏洞的檢測和研究。本文主要工作內容如下:(1)對污點數(shù)據源和傳播路徑進行靜態(tài)方法分析數(shù)據,具體是靜態(tài)代碼審計分析網頁源代碼,使污染數(shù)據源所在的區(qū)域范圍進一步縮小,使污染傳播的分析過程更高效。(2)進行污點分析的漏洞利用檢測過程,根據三方面問題展開,首先是標記污染數(shù)據源,然后是污染數(shù)據傳播,最后是檢測污染數(shù)據凈化。(3)利用網頁爬蟲技術分析目標站點并對網頁鏈接進行迭代爬取,直到頁面中所有鏈接被爬取成功。以便獲取可能存在的漏洞注入點,為了驗證網頁是否存在過濾器攔截,進行WAF檢測,查看是否存在可防御的設備。(4)以WAF檢測結果為依據,使用模糊測試技術生成漏洞檢測的測試用...
【文章頁數(shù)】:68 頁
【學位級別】:碩士
【文章目錄】:
摘要
abstract
第一章 緒論
1.1 課題研究背景
1.2 課題研究現(xiàn)狀
1.3 課題工作內容
1.4 本文組織結構
第二章 相關背景知識介紹
2.1 跨站腳本漏洞的介紹
2.1.1 XSS漏洞的概述
2.1.2 XSS漏洞的分類
2.1.3 XSS漏洞的攻擊以及危害
2.2 污點分析技術
2.3 URL協(xié)議簡介
2.4 模糊測試技術
2.4.1 模糊測試技術概念
2.4.2 模糊測試技術的工作步驟
2.4.3 模糊測試技術的類型
2.5 本章小結
第三章 漏洞檢測系統(tǒng)的設計及研究
3.1 系統(tǒng)的可行性分析
3.2 系統(tǒng)總體設計
3.2.1 系統(tǒng)設計思想
3.2.2 系統(tǒng)設計方案
3.3 漏洞檢測系統(tǒng)的模塊設計
3.3.1 靜態(tài)污點分析模塊
3.3.2 網絡爬蟲模塊
3.3.3 模糊測試用例生成模塊
3.3.4 WAF檢測模塊
3.3.5 漏洞檢測模塊
3.4 本章小結
第四章 靜態(tài)污點分析和模糊測試的反射型XSS漏洞研究
4.1 反射型XSS漏洞的形式化描述
4.2 靜態(tài)污點分析的實現(xiàn)
4.2.1 標記污染數(shù)據源
4.2.2 污染數(shù)據的傳播
4.2.3 污染數(shù)據的傳播
4.3 URL爬蟲設計和實現(xiàn)
4.3.1 URL爬蟲設計原理
4.3.2 URL去重技術的實現(xiàn)
4.3.3 頁面遍歷
4.3.4 頁面分析
4.4 WAF檢測功能的實現(xiàn)
4.5 模糊測試用例的實現(xiàn)
4.6 XSS漏洞檢測的實現(xiàn)
4.7 本章小結
第五章 實驗與分析
5.1 測試內容和目的
5.2 測試環(huán)境
5.2.1 實驗環(huán)境
5.2.2 環(huán)境搭建
5.3 漏洞檢測過程
5.4 測試結果與分析
5.5 漏洞檢測系統(tǒng)性能分析
5.6 本章小結
第六章 總結與展望
6.1 論文工作總結
6.2 展望
參考文獻
附錄1 攻讀碩士學位期間申請的專利
致謝
【參考文獻】:
期刊論文
[1]基于Python的健康數(shù)據爬蟲設計與實現(xiàn)[J]. 程增輝,夏林旭,劉茂福. 軟件導刊. 2019(02)
[2]基于Python的多線程網絡爬蟲的設計與實現(xiàn)[J]. 孫冰. 網絡安全技術與應用. 2018(04)
[3]可編程模糊測試技術[J]. 楊梅芳,霍瑋,鄒燕燕,尹嘉偉,劉寶旭,龔曉銳,賈曉啟,鄒維. 軟件學報. 2018(05)
[4]WAF規(guī)則的自動探測與發(fā)現(xiàn)技術研究[J]. 張琦,翟健宏. 智能計算機與應用. 2017(06)
[5]基于動態(tài)污點分析的Android隱私泄露檢測方法[J]. 劉陽,俞研. 計算機應用與軟件. 2017(09)
[6]JavaScript優(yōu)化編譯執(zhí)行模式下的動態(tài)污點分析技術[J]. 梁彬,龔偉剛,游偉,李贊,石文昌. 清華大學學報(自然科學版). 2017(09)
[7]Web應用程序漏洞檢測系統(tǒng)設計[J]. 陳春玲,張凡,余瀚. 計算機技術與發(fā)展. 2017(09)
[8]一種基于Apache的CSRF防御模塊的實現(xiàn)[J]. 王馬龍,劉健. 網絡安全技術與應用. 2017(03)
[9]淺析CSRF漏洞檢測、利用及防范[J]. 嚴亞萍,胡勇. 通信技術. 2017(03)
[10]Android動態(tài)加載與反射機制的靜態(tài)污點分析研究[J]. 樂洪舟,張玉清,王文杰,劉奇旭. 計算機研究與發(fā)展. 2017(02)
碩士論文
[1]面向Web網站安全檢測的WAF規(guī)則發(fā)現(xiàn)技術[D]. 張琦.哈爾濱工業(yè)大學 2017
[2]基于爬蟲和模糊測試的XSS漏洞檢測工具設計與實現(xiàn)[D]. 王云.華南理工大學 2015
[3]基于靜態(tài)分析的PHP代碼缺陷檢測[D]. 霍志鵬.北京郵電大學 2015
[4]基于Fuzzing技術的WEB應用程序漏洞挖掘技術研究[D]. 陳景峰.北方工業(yè)大學 2012
[5]基于DOM的HTML網頁正文信息抽取模塊的設計與實現(xiàn)[D]. 蘇小魯.北京郵電大學 2011
[6]基于遺傳算法的模糊測試技術研究[D]. 章淑琴.華中科技大學 2011
[7]基于模糊測試的XSS漏洞檢測系統(tǒng)研究與實現(xiàn)[D]. 劉為.湖南大學 2010
[8]基于AJAX應用程序的跨站腳本攻擊防御方法研究[D]. 張倩婕.湖南大學 2010
[9]變異測試技術應用研究[D]. 茆亮亮.中國科學技術大學 2010
[10]基于HTML標記的主題爬行器的設計與實現(xiàn)[D]. 王濤.電子科技大學 2009
本文編號:3656218
【文章頁數(shù)】:68 頁
【學位級別】:碩士
【文章目錄】:
摘要
abstract
第一章 緒論
1.1 課題研究背景
1.2 課題研究現(xiàn)狀
1.3 課題工作內容
1.4 本文組織結構
第二章 相關背景知識介紹
2.1 跨站腳本漏洞的介紹
2.1.1 XSS漏洞的概述
2.1.2 XSS漏洞的分類
2.1.3 XSS漏洞的攻擊以及危害
2.2 污點分析技術
2.3 URL協(xié)議簡介
2.4 模糊測試技術
2.4.1 模糊測試技術概念
2.4.2 模糊測試技術的工作步驟
2.4.3 模糊測試技術的類型
2.5 本章小結
第三章 漏洞檢測系統(tǒng)的設計及研究
3.1 系統(tǒng)的可行性分析
3.2 系統(tǒng)總體設計
3.2.1 系統(tǒng)設計思想
3.2.2 系統(tǒng)設計方案
3.3 漏洞檢測系統(tǒng)的模塊設計
3.3.1 靜態(tài)污點分析模塊
3.3.2 網絡爬蟲模塊
3.3.3 模糊測試用例生成模塊
3.3.4 WAF檢測模塊
3.3.5 漏洞檢測模塊
3.4 本章小結
第四章 靜態(tài)污點分析和模糊測試的反射型XSS漏洞研究
4.1 反射型XSS漏洞的形式化描述
4.2 靜態(tài)污點分析的實現(xiàn)
4.2.1 標記污染數(shù)據源
4.2.2 污染數(shù)據的傳播
4.2.3 污染數(shù)據的傳播
4.3 URL爬蟲設計和實現(xiàn)
4.3.1 URL爬蟲設計原理
4.3.2 URL去重技術的實現(xiàn)
4.3.3 頁面遍歷
4.3.4 頁面分析
4.4 WAF檢測功能的實現(xiàn)
4.5 模糊測試用例的實現(xiàn)
4.6 XSS漏洞檢測的實現(xiàn)
4.7 本章小結
第五章 實驗與分析
5.1 測試內容和目的
5.2 測試環(huán)境
5.2.1 實驗環(huán)境
5.2.2 環(huán)境搭建
5.3 漏洞檢測過程
5.4 測試結果與分析
5.5 漏洞檢測系統(tǒng)性能分析
5.6 本章小結
第六章 總結與展望
6.1 論文工作總結
6.2 展望
參考文獻
附錄1 攻讀碩士學位期間申請的專利
致謝
【參考文獻】:
期刊論文
[1]基于Python的健康數(shù)據爬蟲設計與實現(xiàn)[J]. 程增輝,夏林旭,劉茂福. 軟件導刊. 2019(02)
[2]基于Python的多線程網絡爬蟲的設計與實現(xiàn)[J]. 孫冰. 網絡安全技術與應用. 2018(04)
[3]可編程模糊測試技術[J]. 楊梅芳,霍瑋,鄒燕燕,尹嘉偉,劉寶旭,龔曉銳,賈曉啟,鄒維. 軟件學報. 2018(05)
[4]WAF規(guī)則的自動探測與發(fā)現(xiàn)技術研究[J]. 張琦,翟健宏. 智能計算機與應用. 2017(06)
[5]基于動態(tài)污點分析的Android隱私泄露檢測方法[J]. 劉陽,俞研. 計算機應用與軟件. 2017(09)
[6]JavaScript優(yōu)化編譯執(zhí)行模式下的動態(tài)污點分析技術[J]. 梁彬,龔偉剛,游偉,李贊,石文昌. 清華大學學報(自然科學版). 2017(09)
[7]Web應用程序漏洞檢測系統(tǒng)設計[J]. 陳春玲,張凡,余瀚. 計算機技術與發(fā)展. 2017(09)
[8]一種基于Apache的CSRF防御模塊的實現(xiàn)[J]. 王馬龍,劉健. 網絡安全技術與應用. 2017(03)
[9]淺析CSRF漏洞檢測、利用及防范[J]. 嚴亞萍,胡勇. 通信技術. 2017(03)
[10]Android動態(tài)加載與反射機制的靜態(tài)污點分析研究[J]. 樂洪舟,張玉清,王文杰,劉奇旭. 計算機研究與發(fā)展. 2017(02)
碩士論文
[1]面向Web網站安全檢測的WAF規(guī)則發(fā)現(xiàn)技術[D]. 張琦.哈爾濱工業(yè)大學 2017
[2]基于爬蟲和模糊測試的XSS漏洞檢測工具設計與實現(xiàn)[D]. 王云.華南理工大學 2015
[3]基于靜態(tài)分析的PHP代碼缺陷檢測[D]. 霍志鵬.北京郵電大學 2015
[4]基于Fuzzing技術的WEB應用程序漏洞挖掘技術研究[D]. 陳景峰.北方工業(yè)大學 2012
[5]基于DOM的HTML網頁正文信息抽取模塊的設計與實現(xiàn)[D]. 蘇小魯.北京郵電大學 2011
[6]基于遺傳算法的模糊測試技術研究[D]. 章淑琴.華中科技大學 2011
[7]基于模糊測試的XSS漏洞檢測系統(tǒng)研究與實現(xiàn)[D]. 劉為.湖南大學 2010
[8]基于AJAX應用程序的跨站腳本攻擊防御方法研究[D]. 張倩婕.湖南大學 2010
[9]變異測試技術應用研究[D]. 茆亮亮.中國科學技術大學 2010
[10]基于HTML標記的主題爬行器的設計與實現(xiàn)[D]. 王濤.電子科技大學 2009
本文編號:3656218
本文鏈接:http://www.sikaile.net/kejilunwen/ruanjiangongchenglunwen/3656218.html
最近更新
教材專著
