首页> 正文

Web应用程序安全漏洞挖掘的研究

2020-12-08阅读(871)

Web应用程序安全漏洞挖掘的研究

论文摘要

随着互联网进入web2.0时代,基于web的应用程序受到了广泛的欢迎。web应用程序经常广泛应用在诸如医学、金融、军事等系统中,然而这些领域都是对安全性要求很高的。漏洞挖掘是保证web应用程序安全的一种重要手段,及时发现和修补安全漏洞,可以极大增强web应用程序的安全性。因此,研究web漏洞挖掘技术和开发web漏洞挖掘软件对增强web应用程序安全性有重大意义。本文以基于web拦截代理的开源漏洞挖掘工具Paros Proxy为研究对象,主要的工作有以下几个方面:1.比较全面地分析和总结了现有的web漏洞挖掘技术,并给出了所面临的问题。2.分析比较了两类web应用程序漏洞挖掘工具:web拦截代理和web应用程序漏洞扫描器,指出了web拦截代理的优越性,并且详细分析了web拦截代理的框架和功能;同时,指出了Paros Proxy存在的优点和不足。3.通过对Paros Proxy的爬虫模块的深入研究和分析,在对那些需要会话认证的页面进行抓取解析时,实现了在整个抓取过程中的会话跟踪功能,一直维持会话到抓取结束。4.通过对Paros Proxy的爬虫模块的深入研究和分析,实现了对JavaScript脚本生成的URL的解析提取。由于在解析JavaScript URLs过程中采用了IE内核Trident(mshtml.dll)提供的接口进行开发实现的,所以可以完全解析提取web页面上的所有URLs。5.改进了Paros Proxy的SQL Injection检测模块,分别从Error-Based SQL Injection、Union-Based SQL Injection、Blind SQL Injection三方面对SQL Injection漏洞进行检测,并且检测字符串以配置文件的形式给出,这样提供了良好的可扩展性和灵活性;同时,也实现了Cookie Injection的检测。本文的创新主要在于实现了爬虫的会话跟踪功能和解析提取JavaScript脚本生成的URLs的功能,做到了完全解析提取web页面上的所有URLs。同时,改进了SQL Injection检测模块,提高了SQL Injection漏洞检测效率。

论文目录

  • 摘要
  • Abstract
  • 第一章 绪论
  • 1.1 WEB安全的现状和趋势
  • 1.2 课题背景
  • 1.3 章节安排
  • 1.4 本章小结
  • 第二章 WEB应用程序漏洞及挖掘技术
  • 2.1 漏洞的概念
  • 2.2 WEB漏洞分类
  • 2.3 WEB安全漏洞统计数据
  • 2.3.1 概述
  • 2.3.2 数据分析
  • 2.3.3 安全评估方法的比较
  • 2.4 WEB漏洞挖掘技术
  • 2.4.1 Negative方法
  • 2.4.2 Positive方法
  • 2.4.3 面临的问题
  • 2.5 本章小结
  • 第三章 PAROS PROXY的研究
  • 3.1 WEB应用程序漏洞挖掘工具简介
  • 3.2 PAROS PROXY简介
  • 3.3 WEB拦截代理
  • 3.3.1 拦截代理
  • 3.3.2 Web应用爬虫
  • 3.3.3 Fuzzer和扫描器
  • 3.3.4 手工的请求工具
  • 3.3.5 共享功能和效用
  • 3.4 性能比较
  • 3.5 PAROS PROXY的优点与不足
  • 3.6 本章小结
  • 第四章 PAROS PROXY爬虫模块的改进
  • 4.1 SPIDER定义
  • 4.2 SPIDER搜索策略
  • 4.3 SPIDER模型
  • 4.3.1 单线程爬虫模型
  • 4.3.2 多线程爬虫模型
  • 4.4 PAROS PROXY爬虫模块的分析
  • 4.4.1 会话跟踪(Cookie)支持
  • 4.4.2 JavaScript URLs 解析
  • 4.5 爬虫模块的改进
  • 4.5.1 支持会话跟踪(Cookie)
  • 4.5.2 解析JavaScript URLs
  • 4.6 实验结果
  • 4.7 本章小结
  • 第五章 PAROS PROXY的SQL INJECTION检测模块的改进
  • 5.1 SQL INJECTION定义
  • 5.2 SQL INJECTION分类
  • 5.3 检测对象
  • 5.4 检测流程
  • 5.5 实现细节
  • 5.6 性能分析
  • 5.7 本章小结
  • 第六章 结束语
  • 致谢
  • 参考文献
  • 研究成果

    • 相关论文文献

    • [1].基于WEB的通信电源远程监控系统研究[J]. 中国设备工程 2019(24)
    • [2].基于自适应遗传算法的考虑服务质量感知Web服务发现[J]. 电子测量技术 2019(22)
    • [3].面向Web系统热点数据预测及缓存管理的研究[J]. 信息技术与信息化 2019(12)
    • [4].基于页面对象的Web应用测试用例生成方法[J]. 计算机应用 2020(01)
    • [5].运用物联网和Web服务搭建院际转运信息平台[J]. 电子技术与软件工程 2020(02)
    • [6].延迟加载在web开发中的应用心得[J]. 视听 2020(02)
    • [7].基于Web的期刊采编系统的设计与实现[J]. 电脑知识与技术 2020(06)
    • [8].Web服务软件测试技术的研究与实现[J]. 电脑知识与技术 2020(02)
    • [9].移动互联网时代的Web性能优化实践[J]. 信息通信 2020(01)
    • [10].基于Web的校园个人自行车租赁系统[J]. 卫星电视与宽带多媒体 2020(02)
    • [11].基于网站制作的Web前端开发技术与优化[J]. 数字技术与应用 2020(01)
    • [12].基于Web应用的网络安全漏洞发现与研究[J]. 无线互联科技 2020(05)
    • [13].基于Web的动态几何软件领域模型及其应用[J]. 计算机应用 2020(04)
    • [14].基于web技术支持下网络多媒体课件的制作原则及优点[J]. 科技风 2020(13)
    • [15].基于Web的网上教学平台的设计与实现[J]. 科技与创新 2020(07)
    • [16].1+X证书制度与Web前端开发专业融合的探索[J]. 信息与电脑(理论版) 2020(04)
    • [17].基于《web前端页面设计》在线开放课程自主学习探讨[J]. 计算机产品与流通 2020(05)
    • [18].基于WEB的计算机课程辅助教学系统的设计与实现[J]. 计算机产品与流通 2020(05)
    • [19].基于Web的时变体数据的体绘制方法[J]. 计算机测量与控制 2020(04)
    • [20].Web浏览器中数据安全配置的研究[J]. 电脑编程技巧与维护 2020(04)
    • [21].基于实践应用的Web开发技术教学改革研究初探[J]. 科学大众(科学教育) 2020(05)
    • [22].基于Web的桥梁健康监测系统设计与实现[J]. 计算机技术与发展 2020(04)
    • [23].基于Web技术的计算机实验室综合管理系统设计[J]. 电子制作 2020(11)
    • [24].分析校园网中Web服务器的配置及安全防护[J]. 江西电力职业技术学院学报 2020(01)
    • [25].基于Web的研究生学位信息管理系统技术研究[J]. 创新创业理论研究与实践 2020(07)
    • [26].WEB技术在地质资料二次开发中的应用探讨[J]. 中国非金属矿工业导刊 2020(03)
    • [27].基于Web技术的医疗图像脱敏系统的设计与实现[J]. 宁夏工程技术 2020(02)
    • [28].网站制作的Web前端开发设计的相关研究[J]. 卫星电视与宽带多媒体 2020(07)
    • [29].Web开发提高网站性能的技巧[J]. 电脑编程技巧与维护 2020(06)
    • [30].随钻测井地质导向服务WEB版[J]. 国外测井技术 2020(03)

    标签:;  ;  

    Web应用程序安全漏洞挖掘的研究
    下载Doc文档

    猜你喜欢

    © 2025 毕速过 版权所有 鄂ICP备12018319号-5