資源描述:
《基于灰盒測試的web應用程序安全漏洞檢測》由會員上傳分享,免費在線閱讀,更多相關內容在學術論文-天天文庫。
1、北京化工大學學位論文原創(chuàng)性聲明本人鄭重聲明:所呈交的學位論文,是本人在導師的指導下,獨立進行研究工作所取得的成果。除文中已經注明引用的內容外,本論文不含任何其他個人或集體已經發(fā)表或撰寫過的作品成果。對本文的研究做出重要貢獻的個人和集體,均己在文中以明確方式標明。本人完全意識到本聲明的法律結果由本人承擔。作者簽名:墨虱亟日期:墊!三:墮:望關于論文使用授權的說明學位論文作者完全了解北京化工大學有關保留和使用學位論文的規(guī)定,即:研究生在校攻讀學位期間論文工作的知識產權單位屬北京化工大學。學校有權保留并向國家有關部門或機構送交論文的復印件和磁盤,允許學位論文被查閱和借閱;學??梢怨紝W位論文的全部
2、或部分內容,可以允許采用影印、縮印或其它復制手段保存、匯編學位論文。保密論文注釋:本學位論文屬于保密范圍,在一年解密后適用本授權書。非保密論文注釋:本學位論文不屬于保密范圍,適用本授權書。作者簽名:塞凰盟導師簽名:蓋杠日期:壟堡:!三:望日期:竺!』:£:趁學位論文數(shù)據(jù)集中圖分類號TP311.56學科分類號520.40論文編號1001020130088密級公開學位授予單位代碼100lO學位授予單位名稱北京化工大學作者姓名栗國斌學號2011210088獲學位專業(yè)名稱控制工程獲學位專業(yè)代碼085210課題來源自選題目研究方向軟件測試論文題目基于灰盒測試的Web應用程序安全漏洞檢測數(shù)據(jù)庫注入漏洞,
3、跨站腳本漏洞,跨站請求偽造漏洞,關鍵詞靜態(tài)分析,基于攻擊特征測試技術論文答辯日期2013.05.25+論文類型應用研究學位論文評閱及答辯委員會情況姓名職稱工作單位學科專長軟件測試與軟件可靠指導教師趙瑞蓮教授北京化工大學性相關技術評閱人1王晶教授北京化工大學先進過程控制評閱人2趙英教授北京化工大學計算機網絡評閱人3評閱人4評閱人5答辯委員會主席王晶教授北京化工大學先進過程控制現(xiàn)代信號處理與嵌入式答辯委員1王學偉教授北京化工大學信息處理技術答辯委員2趙英教授北京化工大學計算機網絡答辯委員3夏濤副教授北京化工大學計算機仿真系統(tǒng)答辯委員4孫洪程高工北京化工大學過程控制工程答辯委員5注:一.論文類型:
4、1.基礎研究2.應用研究3.開發(fā)研究4.其它二.中圖分類號在《《中國圖書資料分類法》查詢。三.學科分類號在中華人民共和國國家標準(GB/T13745.9)《(學科分類與代碼))中查詢。四,論文編號由單位代碼和年份及學號的后四位組成。摘要基于灰盒測試的Web應用程序安全漏洞檢測Web應用程序方便、快捷,已逐漸滲透到人們生活工作的方方面面。隨著Web應用程序的廣泛使用,Web應用的安全性變得日益重要,對Web應用程序進行安全漏洞檢測已成為當前研究的熱點。測試人員通過收集Web應用程序安全漏洞相關信息,對其進行歸納整理,將常見的Web應用程序安全漏洞分為數(shù)據(jù)庫注入漏洞(SQM)、跨站腳本漏洞(xs
5、s)和跨站請求訪問漏洞(CSRF)--類,目前已有一些針對不同安全漏洞的防范、檢測辦法,也存在相應的安全漏洞檢測工具,但這些工具常會出現(xiàn)誤報和漏報現(xiàn)象。為減少Web應用程序安全漏洞檢測的誤報和漏報率,本文提出了一種基于灰盒測試的Web應用程序安全漏洞檢測方法,針對SQLI、XSS以及CSRF這三種常見的Web應用程序進行安全漏洞檢測。該方法將基于白盒的靜態(tài)分析技術和基于黑盒的攻擊特征測試技術相結合,利用靜態(tài)分析找到被測程序中所有可能含有安全漏洞的頁面,對這些頁面應用攻擊特征測試技術檢測頁面是否存在安全漏洞。并在此基礎上,設計實現(xiàn)了一款基于灰盒測試的Web應用程序安全漏洞檢測工具。針對基于JS
6、P的Web應用程序進行上述三類安全漏洞的檢測,實驗結果表明該工具能夠檢測出這三種安全漏洞,具有較好的安全漏洞檢測能力。相對于其他漏洞檢測工具,該工具減少了對安全漏洞的北京化工大學碩士學位論文誤報、漏報現(xiàn)象,提高了Web應用程序安全漏洞檢測的充分性和準確性,具有一定的推廣應用價值。關鍵詞:數(shù)據(jù)庫注入漏洞,跨站腳本漏洞,跨站請求偽造漏洞,靜態(tài)分析,基于攻擊特征測試技術AB盯RACTWEBAPPLICATIONSECURITYVULNERABILITESDETECTIoNBASEDoNGRA:HBoXTESTABSTRACTWebapplicationisgraduallypenetratingi
7、ntoourlifeforitsspeedandconvenience.AsWebapplicationhasbeenwidelyusedthesedays,thesecurityofWebapplicationisbecomingmoreandmoreimportant.ThedetectionofWebapplicationsecurityvulnerabilityhasbecomeanewhotfile