WEB應(yīng)用安全漏洞挖掘的研究與實(shí)現(xiàn).pdf

1、隨著計算機(jī)與互聯(lián)網(wǎng)的快速發(fā)展，WEB應(yīng)用已經(jīng)深入各個領(lǐng)域當(dāng)中。并且伴隨著越來越低廉的硬件，強(qiáng)大的軟件以及逐漸普及的各種WEB開發(fā)技術(shù)，建站對于大多數(shù)人來將已經(jīng)不再是困難的事情了。但是由于WEB開發(fā)人員能力的良莠不齊，致使大量的站點(diǎn)存在著WEB應(yīng)用漏洞，這就給攻擊者大開方便之門。
　　WEB應(yīng)用安全受到越來越多的攻擊者關(guān)注，一方面是由于傳統(tǒng)應(yīng)用方式逐漸在往基于WEB的架構(gòu)上遷移，另一方面是由于WEB應(yīng)用受防火墻的限制更小，這樣使得攻

2、擊者可以更方便的進(jìn)行攻擊。還有最重要的原因是，現(xiàn)今的WEB應(yīng)用架構(gòu)出現(xiàn)了新的變化，現(xiàn)在的WEB應(yīng)用不僅可以實(shí)現(xiàn)動態(tài)頁面，而且往往跟數(shù)據(jù)庫操作系統(tǒng)進(jìn)行了捆綁，使得存在威脅的環(huán)節(jié)增多，WEB應(yīng)用安全體系亦存在木桶原理，最為脆弱的環(huán)節(jié)往往決定了安全防護(hù)的強(qiáng)度。即使廠家不斷的更新補(bǔ)丁來加固安全，但是由于開發(fā)人員的不同習(xí)慣與需求，使得WEB應(yīng)用漏洞仍然大量存在。
　　根據(jù)OWASP數(shù)據(jù)統(tǒng)計，SQL注入與跨站腳本攻擊是兩種最為流行也是危害最大

3、的WEB應(yīng)用漏洞。因此本文主要針對這兩種WEB漏洞展開研究，并且根據(jù)這兩種攻擊的原理與手段，進(jìn)行深入分析，提出了一種WEB應(yīng)用弱點(diǎn)挖掘系統(tǒng)，可以對上述的兩種WEB應(yīng)用漏洞進(jìn)行挖掘。本論文的主要研究工作如下：
　　1.首先對WEB應(yīng)用的安全現(xiàn)狀進(jìn)行介紹，分析了研究WEB應(yīng)用安全的迫切需求。
　　2.詳細(xì)的研究了SQL注入攻擊的原理以及利用手段。
　　3.詳細(xì)的研究了跨站腳本攻擊，分別對三種類型的跨站腳本攻擊原理以及利用手