資源描述:
《基于灰盒測(cè)試的web應(yīng)用程序安全漏洞檢測(cè)》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、北京化工大學(xué)學(xué)位論文原創(chuàng)性聲明本人鄭重聲明:所呈交的學(xué)位論文,是本人在導(dǎo)師的指導(dǎo)下,獨(dú)立進(jìn)行研究工作所取得的成果。除文中已經(jīng)注明引用的內(nèi)容外,本論文不含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫過的作品成果。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體,均己在文中以明確方式標(biāo)明。本人完全意識(shí)到本聲明的法律結(jié)果由本人承擔(dān)。作者簽名:墨虱亟日期:墊!三:墮:望關(guān)于論文使用授權(quán)的說明學(xué)位論文作者完全了解北京化工大學(xué)有關(guān)保留和使用學(xué)位論文的規(guī)定,即:研究生在校攻讀學(xué)位期間論文工作的知識(shí)產(chǎn)權(quán)單位屬北京化工大學(xué)。學(xué)校有權(quán)保留并向國(guó)家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和磁盤,允許學(xué)位論文被查閱和借閱;學(xué)校可以公布學(xué)位論文的全部
2、或部分內(nèi)容,可以允許采用影印、縮印或其它復(fù)制手段保存、匯編學(xué)位論文。保密論文注釋:本學(xué)位論文屬于保密范圍,在一年解密后適用本授權(quán)書。非保密論文注釋:本學(xué)位論文不屬于保密范圍,適用本授權(quán)書。作者簽名:塞凰盟導(dǎo)師簽名:蓋杠日期:壟堡:!三:望日期:竺!』:£:趁學(xué)位論文數(shù)據(jù)集中圖分類號(hào)TP311.56學(xué)科分類號(hào)520.40論文編號(hào)1001020130088密級(jí)公開學(xué)位授予單位代碼100lO學(xué)位授予單位名稱北京化工大學(xué)作者姓名栗國(guó)斌學(xué)號(hào)2011210088獲學(xué)位專業(yè)名稱控制工程獲學(xué)位專業(yè)代碼085210課題來源自選題目研究方向軟件測(cè)試論文題目基于灰盒測(cè)試的Web應(yīng)用程序安全漏洞檢測(cè)數(shù)據(jù)庫注入漏洞,
3、跨站腳本漏洞,跨站請(qǐng)求偽造漏洞,關(guān)鍵詞靜態(tài)分析,基于攻擊特征測(cè)試技術(shù)論文答辯日期2013.05.25+論文類型應(yīng)用研究學(xué)位論文評(píng)閱及答辯委員會(huì)情況姓名職稱工作單位學(xué)科專長(zhǎng)軟件測(cè)試與軟件可靠指導(dǎo)教師趙瑞蓮教授北京化工大學(xué)性相關(guān)技術(shù)評(píng)閱人1王晶教授北京化工大學(xué)先進(jìn)過程控制評(píng)閱人2趙英教授北京化工大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)評(píng)閱人3評(píng)閱人4評(píng)閱人5答辯委員會(huì)主席王晶教授北京化工大學(xué)先進(jìn)過程控制現(xiàn)代信號(hào)處理與嵌入式答辯委員1王學(xué)偉教授北京化工大學(xué)信息處理技術(shù)答辯委員2趙英教授北京化工大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)答辯委員3夏濤副教授北京化工大學(xué)計(jì)算機(jī)仿真系統(tǒng)答辯委員4孫洪程高工北京化工大學(xué)過程控制工程答辯委員5注:一.論文類型:
4、1.基礎(chǔ)研究2.應(yīng)用研究3.開發(fā)研究4.其它二.中圖分類號(hào)在《《中國(guó)圖書資料分類法》查詢。三.學(xué)科分類號(hào)在中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)(GB/T13745.9)《(學(xué)科分類與代碼))中查詢。四,論文編號(hào)由單位代碼和年份及學(xué)號(hào)的后四位組成。摘要基于灰盒測(cè)試的Web應(yīng)用程序安全漏洞檢測(cè)Web應(yīng)用程序方便、快捷,已逐漸滲透到人們生活工作的方方面面。隨著Web應(yīng)用程序的廣泛使用,Web應(yīng)用的安全性變得日益重要,對(duì)Web應(yīng)用程序進(jìn)行安全漏洞檢測(cè)已成為當(dāng)前研究的熱點(diǎn)。測(cè)試人員通過收集Web應(yīng)用程序安全漏洞相關(guān)信息,對(duì)其進(jìn)行歸納整理,將常見的Web應(yīng)用程序安全漏洞分為數(shù)據(jù)庫注入漏洞(SQM)、跨站腳本漏洞(xs
5、s)和跨站請(qǐng)求訪問漏洞(CSRF)--類,目前已有一些針對(duì)不同安全漏洞的防范、檢測(cè)辦法,也存在相應(yīng)的安全漏洞檢測(cè)工具,但這些工具常會(huì)出現(xiàn)誤報(bào)和漏報(bào)現(xiàn)象。為減少Web應(yīng)用程序安全漏洞檢測(cè)的誤報(bào)和漏報(bào)率,本文提出了一種基于灰盒測(cè)試的Web應(yīng)用程序安全漏洞檢測(cè)方法,針對(duì)SQLI、XSS以及CSRF這三種常見的Web應(yīng)用程序進(jìn)行安全漏洞檢測(cè)。該方法將基于白盒的靜態(tài)分析技術(shù)和基于黑盒的攻擊特征測(cè)試技術(shù)相結(jié)合,利用靜態(tài)分析找到被測(cè)程序中所有可能含有安全漏洞的頁面,對(duì)這些頁面應(yīng)用攻擊特征測(cè)試技術(shù)檢測(cè)頁面是否存在安全漏洞。并在此基礎(chǔ)上,設(shè)計(jì)實(shí)現(xiàn)了一款基于灰盒測(cè)試的Web應(yīng)用程序安全漏洞檢測(cè)工具。針對(duì)基于JS
6、P的Web應(yīng)用程序進(jìn)行上述三類安全漏洞的檢測(cè),實(shí)驗(yàn)結(jié)果表明該工具能夠檢測(cè)出這三種安全漏洞,具有較好的安全漏洞檢測(cè)能力。相對(duì)于其他漏洞檢測(cè)工具,該工具減少了對(duì)安全漏洞的北京化工大學(xué)碩士學(xué)位論文誤報(bào)、漏報(bào)現(xiàn)象,提高了Web應(yīng)用程序安全漏洞檢測(cè)的充分性和準(zhǔn)確性,具有一定的推廣應(yīng)用價(jià)值。關(guān)鍵詞:數(shù)據(jù)庫注入漏洞,跨站腳本漏洞,跨站請(qǐng)求偽造漏洞,靜態(tài)分析,基于攻擊特征測(cè)試技術(shù)AB盯RACTWEBAPPLICATIONSECURITYVULNERABILITESDETECTIoNBASEDoNGRA:HBoXTESTABSTRACTWebapplicationisgraduallypenetratingi
7、ntoourlifeforitsspeedandconvenience.AsWebapplicationhasbeenwidelyusedthesedays,thesecurityofWebapplicationisbecomingmoreandmoreimportant.ThedetectionofWebapplicationsecurityvulnerabilityhasbecomeanewhotfile