Web应用的漏洞检测与防范技术研究-计算机应用专业论文.docxVIP

万方数据 万方数据 致 谢 衷心感谢我的导师曹天杰教授。在过去的三年里，在学习和生活等方面，曹 老师都给予了很大的帮助。从理论的学习、研究方向的确定、论文的撰写、修改 直至定稿等各个阶段，曹老师一直细心地指导。曹老师真诚友好的为人，努力工 作的作风，严谨治学的精神，独特的学术见解都给我留下了深刻的印象，他的教 导将使我受益匪浅。在此，再次向曹老师表示衷心的感谢！ 感谢父母，没有他们几十年如一日般的谆谆教导，就没有现在的我。 感谢实验室的兄弟姐妹以及生活中的朋友和我度过了三年的研究生生活，一 起学习、进步。 最后感谢中国矿业大学计算机学院对我的教育和培养，使我积累了丰富的专 业知识，为我以后工作和学习打下了坚实的基础。 摘 要 随着互联网技术的不断发展，基于 Web 的应用日益增多，例如：网上商城、 网上银行等，Web 应用具有成本低、使用方便等优点。当前，企业、政府、学校 的很多办公系统都建立在 Web 应用程序之上，这些系统中往往存储着重要的数 据，如个人信息、单位保密信息等，因此，系统的安全性是非常重要的。由于 Web 应用的开放性，使得它更加容易受到黑客的攻击，它很难受到传统防火墙的 保护。网络安全问题日益突出，越来越多的站点受到攻击，其根本原因是 Web 应用程序中存在着漏洞，Web 漏洞有很多种，危害对象可以是服务器端也可以是 客户端，本文主要对跨站脚本请求（XSS）漏洞和跨站请求伪造（CSRF）漏洞 进行研究，这两种漏洞都是基于客户端的漏洞，影响范围广，受害者难以察觉。 本文首先概述了 XSS 和 CSRF 漏洞的相关知识，包括 WEB 应用的相关技术， 详细分析了 XSS 和 CSRF 漏洞的原理、分类、危害以及攻击技巧。在以上的基 础上，重点研究了 XSS 和 CSRF 漏洞的检测方法和防御方法。 在 XSS 漏洞方面，本文分析了 XSS 漏洞的检测方法的原理，包括静态检测 方法和动态检测方法，结合现有的检测方法分析了它们的优缺点，针对现有检测 方法的不足，提出了一种改进的 XSS 漏洞检测方法。该方法的原理是模拟攻击 者对目标站点发起攻击的过程：先用合法向量测试，排除肯定不存在 Reflected XSS 漏洞的页面，并收集输入点、输出点页面和输出点类型等信息，再用攻击向 量进一步测试，通过实验证明了该方法的有效性，不仅提高了 XSS 漏洞的检测 效率，还可以检测 Stored XSS 漏洞。另外，本文研究了 XSS 漏洞的防范方法， 并分析了各种防范方法的原理和优缺点。 在 CSRF 漏洞方面，本文分析了 CSRF 漏洞的检测方法和现有检测工具的原 理，针对现有检测工具的不足，提出了一种改进的 CSRF 漏洞检测方法，主要原 理是分析请求包中是否有防御特征信息，通过实验证明了该方法的有效性，能够 提高 CSRF 漏洞的检测正确率。另外，本文介绍了 CSRF 漏洞的防范方法并分析 了各种防范方法的优缺点。 该论文有图 23 幅，表 4 个，参考文献 90 篇。 关键词：Web 安全；XSS；CSRF；检测；防范； I Abstract With the development of internet, the number of Web application is increasing, such as online shopping mall, online banking and so on, it is easy to use and the cost is low. In nowadays, more and more office systems of companies, govements and schools storing a lot of important data are built on web applications, so it is very important to keep the systems safety. Web application is becoming easier to be hacked, because it is hard for traditional firewalls to protect it. The issue of Web security is becoming increasingly prominent, and lots of websites which existed web vulnerabilities were hacked. There are many kinds of Web vulnerabilities, which can be exploited to attack both clients