資源描述:
《基于爬蟲技術的web應用程序漏洞檢測方法》由會員上傳分享,免費在線閱讀,更多相關內容在學術論文-天天文庫。
1、中文圖書分類號:TP391密級:公開UDC:004學校代碼:10005碩士學位論文MASTERALDISSERTATION論文題目:基于爬蟲技術的Web應用程序漏洞檢測方法論文作者:雷佳偉學科:計算機科學與技術指導教師:王全民論文提交日期:2016年6月UDC:004學校代碼:10005中文圖書分類號:TP391學號:S201307077密級:公開北京工業(yè)大學工學碩士學位論文題目:基于爬蟲技術的Web應用程序漏洞檢測方法英文題目:AWEBAPPLICATIONVULNERABILITYDETECTIONMETHODBASEDONWEBCRA
2、WLERTECHNOLOGY論文作者:雷佳偉學科專業(yè):計算機科學與技術研究方向:信息安全申請學位:工學碩士指導教師:王全民副教授所在單位:計算機學院答辯日期:2016年6月授予學位單位:北京工業(yè)大學獨創(chuàng)性聲明本人聲明所呈交的論文是我個人在導師指導下進行的研究工作及取得的研究成果。盡我所知,除了文中特別加以標注和致謝的地方外,論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果,也不包含為獲得北京工業(yè)大學或其它教育機構的學位或證書而使用過的材料。與我一同工作的同志對本研究所做的任何貢獻均已在論文中作了明確的說明并表示了謝意。簽名:雷佳偉日期:2016
3、年6月22日關于論文使用授權的說明本人完全了解北京工業(yè)大學有關保留、使用學位論文的規(guī)定,即:學校有權保留送交論文的復印件,允許論文被查閱和借閱;學??梢怨颊撐牡娜炕虿糠謨热?,可以采用影印、縮印或其他復制手段保存論文。(保密的論文在解密后應遵守此規(guī)定)簽名:雷佳偉日期:2016年6月22日導師簽名:王全民日期:2016年6月22日摘要摘要隨著Web2.0時代的到來,Web技術高速發(fā)展,網(wǎng)站漸漸由原本的靜態(tài)文檔發(fā)展成為具有各種強大功能的動態(tài)頁面?;ヂ?lián)網(wǎng)用戶可以通過網(wǎng)站輕松的完成很多業(yè)務。然而由于大量的個人信息暴露在互聯(lián)網(wǎng)上,隨之帶來的安全問
4、題也逐年增加,跨站腳本攻擊就是眾多安全問題中的一個。在OWASP2015中國應用安全論壇會議中,跨站腳本攻擊仍嚴重威脅著Web應用程序的安全。針對跨站腳本攻擊帶來的嚴重危害,國內外安全研究人員提出了包括黑盒測試和白盒測試的檢測方法,使得這一問題的危害得到了一定程度上的緩解。但是隨著Web技術的更新,Web支持的功能不斷擴展,跨站腳本的攻擊者不斷的發(fā)現(xiàn)可以繞過安全監(jiān)測過濾的方法。針對以上問題,論文提出一種基于爬蟲技術的Web應用程序漏洞檢測方法,改進爬蟲爬取網(wǎng)頁、解析頁面的方法,并且研究了漏洞挖掘策略,從而解決了網(wǎng)頁爬取的效率以及網(wǎng)頁分析的性
5、能問題,提高了對漏洞檢測的檢測率,降低了漏洞的漏報率和誤報率,并對其做了實驗分析,結果證明研究方案具有良好的性能和準確性。論文主要工作如下:(1)研究了系統(tǒng)漏洞的成因以及當前主要的漏洞挖掘技術,分析了跨站腳本攻擊的主要手段、檢測方法以及研究現(xiàn)狀,同時對當前主要的開源爬蟲框架也進行了深入的學習和借鑒(2)針對目前開源的的某些爬蟲技術存在爬取效率低、網(wǎng)頁分析能力差的缺點,通過對Scrapy框架的研究,分析了頁面爬取以及解析的具體過程,研究了URL的搜索和相似性去重,設計和實現(xiàn)了基于Scrapy框架的爬蟲Libra,解決了系統(tǒng)爬取頁面的效率以及解
6、析頁面的性能問題。(3)針對目前的跨站腳本攻擊檢測方法存在攻擊代碼單一、存儲在數(shù)據(jù)庫中笨重等缺點,以基本跨站腳本攻擊代碼為基礎,根據(jù)不同類型的攻擊方式,按照挖掘策略對攻擊代碼進行變形,輸出了更加全面的攻擊代碼,從而提高了跨站腳本攻擊漏洞檢測率,降低了漏報率和誤報率。(4)實現(xiàn)了基于爬蟲技術的Web應用程序漏洞檢測方法,對該方法進行了測試,并對測試結果進行了分析。關鍵詞:XSS;Web應用;Scrapy爬蟲;攻擊向量??I?北京工業(yè)大學工學碩士學位論文AbstractWiththeadventofWeb2.0era,Webtechnology
7、high-speeddeveloped,fromtheoriginalsitegraduallydevelopedintoadynamicpagewithavarietyofpowerfulfeatures.Peoplecaneasilycompletealotofbusinessthroughthewebsite.HoweveralotofpersonalinformationexposedontheInternet,thecorrespondingsecurityissuesincreasedyearbyyear.Cross-sites
8、criptingattacksareoneofmanysecurityproblems.IntheapplicationsecurityOWASP2015ChinaForum,c