WEB应用安全漏洞挖掘的研究与实现-计算机应用技术专业论文.docxVIP

万方数据 万方数据 独 创 性 声 明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名： 日期： 年 月 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 （保密的学位论文在解密后应遵守此规定） 签名： 导师签名： 日期： 年 月 日 万方数据 万方数据 摘要 摘 要 随着计算机与互联网的快速发展，WEB 应用已经深入各个领域当中。并且伴 随着越来越低廉的硬件，强大的软件以及逐渐普及的各种 WEB 开发技术，建站 对于大多数人来将已经不再是困难的事情了。但是由于 WEB 开发人员能力的良 莠不齐，致使大量的站点存在着 WEB 应用漏洞，这就给攻击者大开方便之门。 WEB 应用安全受到越来越多的攻击者关注，一方面是由于传统应用方式逐渐 在往基于 WEB 的架构上迁移，另一方面是由于 WEB 应用受防火墙的限制更小， 这样使得攻击者可以更方便的进行攻击。还有最重要的原因是，现今的 WEB 应 用架构出现了新的变化，现在的 WEB 应用不仅可以实现动态页面，而且往往跟 数据库操作系统进行了捆绑，使得存在威胁的环节增多，WEB 应用安全体系亦存 在木桶原理，最为脆弱的环节往往决定了安全防护的强度。即使厂家不断的更新 补丁来加固安全，但是由于开发人员的不同习惯与需求，使得 WEB 应用漏洞仍 然大量存在。 根据 OWASP 数据统计，SQL 注入与跨站脚本攻击是两种最为流行也是危害 最大的 WEB 应用漏洞。因此本文主要针对这两种 WEB 漏洞展开研究，并且根据 这两种攻击的原理与手段，进行深入分析，提出了一种 WEB 应用弱点挖掘系统， 可以对上述的两种 WEB 应用漏洞进行挖掘。本论文的主要研究工作如下： 1. 首先对 WEB 应用的安全现状进行介绍，分析了研究 WEB 应用安全的迫切 需求。 2. 详细的研究了 SQL 注入攻击的原理以及利用手段。 3. 详细的研究了跨站脚本攻击，分别对三种类型的跨站脚本攻击原理以及利 用手段进行了分析。 4. 详细的论述了 WEB 应用弱点挖掘系统的实施方案，对系统的整个架构进 行了构建，对系统所需要的各个模块进行了详细设计。 5. 对系统中关键模块的实现进行详细说明，包括了弱点采集爬虫模块、弱点 挖掘数据生成模块以及弱点挖掘模块等。 6. 对系统的整体以及模块功能进行了测试，测试的结果表明系统设计的合理 性 7. 分析了系统的不足之处，并对后续工作进行了展望。 I 摘要 关键词：WEB 应用安全，SQL 注入，跨站脚本攻击，漏洞挖掘 II ABSTRACT ABSTRACT With the development of computer and internet, web applications are widely spreaded among every field. With the cheaper hardware, more powerful software and widespread web developing technique, it is no longer difficult for most people to developing website. For not all the programmers focus on security when developing website, the sites are easyly to be invaded by attackers who exploit the vulnerabilities of the web applications. More and more attackers pay attention to web applications security for several reasons. One is that more and more applications are built based on web. Another one is that web applications are hardly limited by fi