資源描述:
《基于漏洞分級和fuzz技術(shù)web漏洞檢測系統(tǒng)設(shè)計的實現(xiàn)》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、摘要隨著Web應(yīng)用技術(shù)的迅猛發(fā)展,Web應(yīng)用已經(jīng)涉及到人們生活的各個領(lǐng)域,Web應(yīng)用系統(tǒng)漏洞檢測技術(shù)日益成為國內(nèi)外學(xué)習和研究的熱點與重點。但是,Web應(yīng)用系統(tǒng)漏洞自動化檢測技術(shù)還處于起步階段,Web應(yīng)用系統(tǒng)的安全防護問題還未得到足夠的重視。針對SQL注入、跨站點腳本等常見Web應(yīng)用系統(tǒng)漏洞進行的攻擊都是從正常的WWW端口進行,可能會造成不可預(yù)想的危害且很難被人察覺到。因此,對Web應(yīng)用系統(tǒng)漏洞自動化檢測技術(shù)進行全面的研究,以及相關(guān)檢測系統(tǒng)的實現(xiàn)對于Web應(yīng)用系統(tǒng)漏洞的防范及檢測具有極其重要的理論意義和實用價值。本論文在深入分析總結(jié)常見Web應(yīng)用系統(tǒng)
2、漏洞的攻擊方式、攻擊特點、攻擊參數(shù)及相應(yīng)防御機制的基礎(chǔ)上,設(shè)計并實現(xiàn)了一個基于網(wǎng)絡(luò)的、基于漏洞分級及Fuzz技術(shù)的Web漏洞檢測系統(tǒng)。系統(tǒng)中依據(jù)防御度高低對Web漏洞進行等級劃分,并將漏洞分級作為模糊測試用例等價類劃分的依據(jù),將各漏洞攻擊參數(shù)進行優(yōu)化選擇后,以模擬黑客攻擊的方式主動地、有針對性地進行漏洞檢測?;诼┒捶旨壓虵uzz技術(shù)的漏洞檢測模型能能夠完整、自動的遍歷整個目標Web應(yīng)用程序,同時提取頁面關(guān)鍵信息并根據(jù)各類型漏洞結(jié)構(gòu)特征對頁面集合進行分類,較好的提高了運行效率。另外,各漏洞檢測引擎以插件的形式加載到系統(tǒng)主程序中,使得系統(tǒng)便于擴展和維
3、護。并且,本系統(tǒng)采用基于網(wǎng)絡(luò)的主動探測的方式,從黑客攻擊的角度出發(fā)進行漏洞檢測,使檢測結(jié)果更具現(xiàn)實意義。在漏洞分級的基礎(chǔ)上對漏洞檢測參數(shù)進行了等價類劃分,保證了測試完備性,消除了測試冗余性。不同級別的漏洞會有不同的模糊測試參數(shù),使得檢測速度更快、檢測行為更有針對性,檢測結(jié)果也可直接告訴用戶造成漏洞的相應(yīng)代碼所采取的防御措施的不足,便于進行漏洞的修復(fù),檢測結(jié)果更具有現(xiàn)實參考性。關(guān)鍵字漏洞檢測模糊測試漏洞分級等價類劃分Abstract、ⅣimtherapiddevelopmentofWebapplicationtechnology,Webapplica
4、tionshavebeeninvolvedinallareasofpeople’Slives,webapplicationvulnerabilitydetectiontechnologyisincreasinglybecomingahotspotandfocusofstudyandresearch.However,webapplicationvulnerabiliticsautomateddetectiontechnologyisstillinitsinfancy,peoplehaven’tgivenenoughattentiontotheweba
5、pplicationsystemsecurityissue.ForSQLinjection,crosssitescriptingvulnerabilityandothercommonWebapplication,attacksarefromthenormalWWWpon,itmaycauseunexpectedharmandareverydifficulttobenoticed.Therefore,launchingthecomprehensiveresearchtotheautomatedwebapplicationvulnerabilityde
6、tectiontechniquesandachievingthecorrespondingdetectiontoolshaveextremelyimportanttheoreticalsignificanceandpracticalvalue.Onthebasisofanin-depthanalysisofcommonWebapplicationvulnerabilitiesattack’Smethod,characteristics,parametersandthecorrespondingdefensemechanisms,thispaperd
7、esignedandimplementedaweb-based,vulnerabilitygradingandfuzzbasedwebvulnerabilityd.etectionsystem.Firstofall,thispapergradesthewebvulnerabilitiesaccordingtothelevelofdefensedegree,andtakesthevulnerabilitygradingasthebasisfortheequivalencepartitioningoffuzztestingcase.Aftertheop
8、timizedchoiceoftheinjectionparameters,detectsthehargetwebsyst