基于灰盒測試web應(yīng)用程序安全漏洞檢測

基于灰盒測試web應(yīng)用程序安全漏洞檢測

ID:33718637

大小:4.18 MB

頁數(shù):64頁

時間:2019-02-28

基于灰盒測試web應(yīng)用程序安全漏洞檢測_第1頁
基于灰盒測試web應(yīng)用程序安全漏洞檢測_第2頁
基于灰盒測試web應(yīng)用程序安全漏洞檢測_第3頁
基于灰盒測試web應(yīng)用程序安全漏洞檢測_第4頁
基于灰盒測試web應(yīng)用程序安全漏洞檢測_第5頁
資源描述:

《基于灰盒測試web應(yīng)用程序安全漏洞檢測》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。

1、學(xué)位論文數(shù)據(jù)集中圖分類號TP311.56學(xué)科分類號520.40論文編號1001020130088密級公開學(xué)位授予單位代碼100lO學(xué)位授予單位名稱北京化工大學(xué)作者姓名栗國斌學(xué)號2011210088獲學(xué)位專業(yè)名稱控制工程獲學(xué)位專業(yè)代碼085210課題來源自選題目研究方向軟件測試論文題目基于灰盒測試的Web應(yīng)用程序安全漏洞檢測數(shù)據(jù)庫注入漏洞,跨站腳本漏洞,跨站請求偽造漏洞,關(guān)鍵詞靜態(tài)分析,基于攻擊特征測試技術(shù)論文答辯日期2013.05.25+論文類型應(yīng)用研究學(xué)位論文評閱及答辯委員會情況姓名職稱工作單位學(xué)科專長軟件測試與軟件可靠指導(dǎo)教師趙瑞蓮教授北京化工大學(xué)性相關(guān)技術(shù)評閱人1王晶

2、教授北京化工大學(xué)先進(jìn)過程控制評閱人2趙英教授北京化工大學(xué)計算機網(wǎng)絡(luò)評閱人3評閱人4評閱人5答辯委員會主席王晶教授北京化工大學(xué)先進(jìn)過程控制現(xiàn)代信號處理與嵌入式答辯委員1王學(xué)偉教授北京化工大學(xué)信息處理技術(shù)答辯委員2趙英教授北京化工大學(xué)計算機網(wǎng)絡(luò)答辯委員3夏濤副教授北京化工大學(xué)計算機仿真系統(tǒng)答辯委員4孫洪程高工北京化工大學(xué)過程控制工程答辯委員5注:一.論文類型:1.基礎(chǔ)研究2.應(yīng)用研究3.開發(fā)研究4.其它二.中圖分類號在《《中國圖書資料分類法》查詢。三.學(xué)科分類號在中華人民共和國國家標(biāo)準(zhǔn)(GB/T13745.9)《(學(xué)科分類與代碼))中查詢。四,論文編號由單位代碼和年份及學(xué)號的后

3、四位組成。摘要基于灰盒測試的Web應(yīng)用程序安全漏洞檢測Web應(yīng)用程序方便、快捷,已逐漸滲透到人們生活工作的方方面面。隨著Web應(yīng)用程序的廣泛使用,Web應(yīng)用的安全性變得日益重要,對Web應(yīng)用程序進(jìn)行安全漏洞檢測已成為當(dāng)前研究的熱點。測試人員通過收集Web應(yīng)用程序安全漏洞相關(guān)信息,對其進(jìn)行歸納整理,將常見的Web應(yīng)用程序安全漏洞分為數(shù)據(jù)庫注入漏洞(SQM)、跨站腳本漏洞(xss)和跨站請求訪問漏洞(CSRF)--類,目前已有一些針對不同安全漏洞的防范、檢測辦法,也存在相應(yīng)的安全漏洞檢測工具,但這些工具常會出現(xiàn)誤報和漏報現(xiàn)象。為減少Web應(yīng)用程序安全漏洞檢測的誤報和漏報率,本文

4、提出了一種基于灰盒測試的Web應(yīng)用程序安全漏洞檢測方法,針對SQLI、XSS以及CSRF這三種常見的Web應(yīng)用程序進(jìn)行安全漏洞檢測。該方法將基于白盒的靜態(tài)分析技術(shù)和基于黑盒的攻擊特征測試技術(shù)相結(jié)合,利用靜態(tài)分析找到被測程序中所有可能含有安全漏洞的頁面,對這些頁面應(yīng)用攻擊特征測試技術(shù)檢測頁面是否存在安全漏洞。并在此基礎(chǔ)上,設(shè)計實現(xiàn)了一款基于灰盒測試的Web應(yīng)用程序安全漏洞檢測工具。針對基于JSP的Web應(yīng)用程序進(jìn)行上述三類安全漏洞的檢測,實驗結(jié)果表明該工具能夠檢測出這三種安全漏洞,具有較好的安全漏洞檢測能力。相對于其他漏洞檢測工具,該工具減少了對安全漏洞的北京化工大學(xué)碩士學(xué)位

5、論文誤報、漏報現(xiàn)象,提高了Web應(yīng)用程序安全漏洞檢測的充分性和準(zhǔn)確性,具有一定的推廣應(yīng)用價值。關(guān)鍵詞:數(shù)據(jù)庫注入漏洞,跨站腳本漏洞,跨站請求偽造漏洞,靜態(tài)分析,基于攻擊特征測試技術(shù)AB盯RACTWEBAPPLICATIONSECURITYVULNERABILITESDETECTIoNBASEDoNGRA:HBoXTESTABSTRACTWebapplicationisgraduallypenetratingintoourlifeforitsspeedandconvenience.AsWebapplicationhasbeenwidelyusedthesedays,these

6、curityofWebapplicationisbecomingmoreandmoreimportant.ThedetectionofWebapplicationsecurityvulnerabilityhasbecomeanewhotfiledofresearch.SometesterssummarizedWebapplicationsecurityvulnerabilitiesintothreecategories,SQLinjection,cross—sitescriptingandcross。siterequestforgery,bycollectingandana

7、lyzingvulnerabilityinformation.Althoughdifferentpreventiveanddetectivemethodsfordifferentsecurityvulnerabilitieshavebeenproposedandsecurityvulnerabilitydetectiontoolshavebeendeveloped,falsepositivesandfalsenegativesstillcameoutffequently.ThispaperpresentsaWeba

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。