Web脚本攻击与防范检测研究

论文摘要

随着Internet技术的发展,基于HTTP协议的各种Web应用程序正在改变着我们的生活方式。然而Web技术发展中所带来的各种安全问题也引起了多方面的关注。在诸多Web安全问题中,最为重要和普遍的问题都来自于Web应用程序本身。由于Web体系结构和交互功能的特殊性,因此通过解释执行的脚本技术广泛的应用到Web应用程序的开发中。而在Web脚本的开发中,程序员的疏忽往往会给攻击者留下各种脚本漏洞,使攻击者能够通过这些漏洞有机可乘,获取Web应用程序和它们用户的机密信息。因此,如何提高Web应用程序对脚本攻击的免疫能力、保障Web应用程序的安全成为目前亟待解决的问题。本文先从Web应用程序的相关技术入手,介绍了HTTP协议,Web功能及Web脚本的相关内容。并对这些内容作出针对性的分析,探讨Web应用程序所面临的核心安全问题所在。在此基础之上,通过实例分析了几种常见的Web脚本攻击技术,主要包括注入攻击、跨站点脚本攻击和跨站点请求伪造攻击。本文的一大核心内容是对Web脚本攻击的防范进行研究。本文首先围绕Web应用程序的核心防御体系作出研究及阐述,在此基础上针对各种常见Web脚本攻击技术,本文分别研究了相关的防范机制,并阐述了实现的相关示例。对Web脚本漏洞的检测是本文的另一大研究重点。本文分别从软件测试中白盒测试和黑盒测试的方法对Web应用程序存在的脚本漏洞进行检测。在利用白盒测试的代码审查方法进行检测时,本文首先研究了各种Web脚本漏洞的漏洞特征,并在此基础上分别对服务器端脚本和客户端脚本的代码审查方法进行阐述。而在利用黑盒测试的渗透测试方法进行检测时,本文首先分析了现有的测试工具的不足,提出了一个针对Web脚本漏洞实施渗透测试的具体方法模型,并详细给出了模型中每一模块的具体实现方法。渗透测试中所用的拦截代理功能给建立中间人代理Web脚本攻击系统创造了理论基础,本文详细研究了该攻击系统的结构及实现,对该攻击方法做出了全面的评价,并给出了若干防御方法。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 引言

1.2 研究背景

1.2.1 Web 体系结构

1.2.2 HTTP 协议模型

1.2.3 Web 安全问题

1.2.4 Web 应用程序安全问题

1.3 论文的组织结构

1.4 本章小结

第二章 WEB 应用程序技术基础

2.1 HTTP 协议基础

2.1.1 HTTP 请求与响应

2.1.2 HTTP GET 与POST 方法

2.1.3 Cookies

2.1.4 HTTPS

2.2 WEB 功能与WEB 脚本语言

2.2.1 脚本语言的含义

2.2.2 客户端功能与脚本语言

2.2.3 服务器端功能与脚本语言

2.3 本章小结

第三章 WEB 脚本攻击技术

3.1 WEB 应用程序安全概述

3.1.1 SSL 与Web 应用程序安全

3.1.2 核心安全问题

3.1.3 关键问题因素

3.1.4 Web 脚本攻击

3.2 常见的注入攻击

3.2.1 注入攻击

3.2.2 SQL 注入攻击

3.2.3 服务器脚本注入攻击

3.3 跨站点脚本攻击

3.3.1 反射型XSS

3.3.2 保存型XSS

3.3.3 基于DOM 的XSS

3.4 跨站点请求伪造攻击

3.4.1 CSRF 示例

3.4.2 CSRF 与XSS

3.5 本章小结

第四章 WEB 脚本攻击的防御

4.1 WEB 应用程序核心防御机制

4.1.1 处理用户访问

4.1.2 处理用户输入

4.1.3 处理攻击者

4.2 防御常见的注入攻击

4.2.1 防御SQL 注入攻击

4.2.2 防御服务器脚本注入攻击

4.3 防御跨站点脚本攻击

4.3.1 防御反射型与保存型XSS

4.3.2 防御基于DOM 的XSS

4.3.3 HttpOnly Cookies

4.4 防御跨站点请求伪造攻击

4.5 本章小结

第五章 WEB 脚本漏洞的代码审查

5.1 代码审查的含义

5.1.1 黑盒测试与白盒测试

5.1.2 代码审查方法

5.2 常见的漏洞特征

5.2.1 SQL 注入

5.2.2 跨站点脚本

5.2.3 网络钓鱼重定向

5.2.4 源代码注释

5.3 客户端脚本的代码审查

5.4 服务器脚本的代码审查

5.4.1 确定用户提交的数据

5.4.2 会话交互

5.4.3 潜在危险的API

5.4.4 配置脚本环境

5.5 本章小结

第六章渗透测试在检测WEB 脚本漏洞中的应用

6.1 渗透测试的含义

6.2 WEB 脚本漏洞渗透测试的常用工具

6.2.1 Web 浏览器

6.2.2 基于拦截代理的集成测试套件

6.2.3 漏洞扫描器及其缺陷

6.3 WEB 脚本漏洞渗透测试方法

6.3.1 Web 脚本漏洞渗透测试模型

6.3.2 Web 脚本漏洞渗透测试一般规范

6.4 WEB 脚本漏洞渗透测试的过程实现

6.4.1 测试基于输入处理的漏洞

6.4.2 检查会话管理及CSRF

6.5 基于代理的中间人WEB 脚本攻击系统实现

6.5.1 系统结构及攻击流程

6.5.2 主要功能实现

6.5.3 攻击评价及攻击防御

6.6 本章小结

第七章结束语

7.1 主要结论

7.2 研究展望

参考文献

致谢

攻读硕士学位期间已发表或录用的论文

上海交通大学硕士学位论文答辩决议书

Web脚本攻击与防范检测研究

论文摘要

论文目录

相关论文文献

猜你喜欢