原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
Web应用常见漏洞的产生场景和检测规则研究-电子与通信工程专业论文
暨南大学硕士学位论文Web
暨南大学硕士学位论文
Web 应用常见漏洞的产生场景和检测规则研究
万方数据
万方数据
摘要
随着互联网的发展和 Web 2.0 时代的到来,在许多行业领域都建设了 Web 应 用信息站点,而网络上针对这些 Web 应用程序的攻击也越来越多。
Web 应用出现的安全问题已经非常迫切,传统的网络安全保护措施只能有限 度地保护 Web 应用不受攻击。网络防火墙必须放过 80 端口的 http 请求,且大部 分 WebServer 都没有仔细地检查 http 请求的合法性,因此 Web 应用程序成了暴 露在互联网上的靶子。对 Web 应用安全漏洞的产生场景和检测技术展开详细研 究具有基础应用价值,也引起了越来越多信息安全研究人员的注意。
针对层出不穷的 Web 安全漏洞,本文着重研究了 SQL 注入、XSS(反射型、 DOM 型和存储型)以及 CSRF 等常见重点漏洞的产生场景和检测规则,此外还 研究了比较适合扫描系统存储和下发的规则 文本组织形式,以及具有 解 析 javascript 脚本功能的爬虫实现。
经过在本地搭建的测试环境的测试,提出的检测用例能够检测出大部分常见 漏洞,而对于存储型 XSS 漏洞尚无自动化解决办法。此外检测用例也探测到一 些实际站点的漏洞,说明研究的规则有一定的实用性。设计实现的爬虫不仅能够 爬出静态页面中的 url 链接,对于需要解析 javascript 才能获取的链接也可以爬取。 提出的 xml 规则组织文本形式能够适应规则的扩展,也为扫描器的规则解析和 下发提供便利。
[关键词] Web 安全;漏洞检测;SQL 注入;XSS;CSRF;网络爬虫
I
ABSTRACT
With the development of Internet and the arrival of Web 2.0, web application information site are widely built in many industries, meanwhile, those web applications are constantly under attack in many ways.
The security of web application have already become an urgent problem, traditional security protection measures can only provide limited protection from attack. Network firewall must pass 80 port HTTP requests, most of the servers don’t check the legitimacy of HTTP requests carefully, the above issues make application
become an exposed target on the Internet. For this reason,increased research in
Internet security has recently generated a great deal of interests in the root causes and detection technologies of web application vulnerability, showing its foundation application value.
Aiming at the emerging Web security vulnerabilities, this paper studied common key root causes and detection rules, such as SQL injection, XSS (reflective, DOM and storage type) and CSRF. Furthermore, we studied the rule text organization form which is suitable for scanning system during storage and release period. And also, we achieved implemention of Crawler with analytic function of javascript.
After being tested in the local set up, the proposed test cases were abled
您可能关注的文档
- UHRF1在骨肉瘤细胞侵袭过程中的作用及其机制研究-外科学专业论文.docx
- UHRF1蛋白在结直肠癌组织中的表达情况及其辅助诊断、预后判断价值的分析-内科学(消化系病)专业论文.docx
- UKF煤矿井下捷联惯导大失准角初始对准应用研究-信号与信息处理专业论文.docx
- UL29shRNA表达质粒与ACV对HSV-2抑制效果的比较-生物化学与分子生物学专业论文.docx
- UHF频段高性能基站天线研究-电子与通信工程专业论文.docx
- Unigear 550在电力系统的应用-控制工程专业论文.docx
- Unbound域名系统软件的性能优化及安全性分析-计算机系统结构专业论文.docx
- UNITANK工艺生物脱氮除磷性能中试研究-市政工程专业论文.docx
- Univoque数与集合strict中元素的研究-基础数学专业论文.docx
- UHRF2通过其PHD结构域与H3K9ac的相互作用以及下调HepG2肝癌细胞中H3K9ac水平-细胞生物学专业论文.docx
- Web应用安全确保技术研究与应用-信息与通信工程专业论文.docx
- Web应用性能测试方法及其应用研究-软件工程专业论文.docx
- Web应用漏洞的分析和防御-计算机系统结构专业论文.docx
- Web应用的漏洞检测与防范技术研究-计算机应用专业论文.docx
- Web应用移动化适配服务中间件的研究与实现-计算机软件与理论专业论文.docx
- Web应用程序性能测试技术的研究及应用-计算机软件与理论专业论文.docx
- Web应用程序客户端脚本安全技术研究-电子与通信工程专业论文.docx
- Web应用程序的性能优化分析-计算机应用技术专业论文.docx
- Web应用程序脆弱性自动化分 析技术的研究与实现-计算机科学与技术专业论文.docx
- Web应用系统功能测试研究与应用-计算机软件与理论专业论文.docx
文档评论(0)