Web應(yīng)用常見漏洞的產(chǎn)生場景和檢測規(guī)則研究.pdf

1、隨著互聯(lián)網(wǎng)的發(fā)展和Web2.0時代的到來，在許多行業(yè)領(lǐng)域都建設(shè)了Web應(yīng)用信息站點，而網(wǎng)絡(luò)上針對這些Web應(yīng)用程序的攻擊也越來越多。
　　Web應(yīng)用出現(xiàn)的安全問題已經(jīng)非常迫切，傳統(tǒng)的網(wǎng)絡(luò)安全保護措施只能有限度地保護Web應(yīng)用不受攻擊。網(wǎng)絡(luò)防火墻必須放過80端口的http請求，且大部分WebServer都沒有仔細地檢查http請求的合法性，因此Web應(yīng)用程序成了暴露在互聯(lián)網(wǎng)上的靶子。對 Web應(yīng)用安全漏洞的產(chǎn)生場景和檢測技術(shù)展開詳細

2、研究具有基礎(chǔ)應(yīng)用價值，也引起了越來越多信息安全研究人員的注意。
　　針對層出不窮的Web安全漏洞，本文著重研究了SQL注入、XSS（反射型、DOM型和存儲型）以及CSRF等常見重點漏洞的產(chǎn)生場景和檢測規(guī)則，此外還研究了比較適合掃描系統(tǒng)存儲和下發(fā)的規(guī)則文本組織形式，以及具有解析javascript腳本功能的爬蟲實現(xiàn)。
　　經(jīng)過在本地搭建的測試環(huán)境的測試，提出的檢測用例能夠檢測出大部分常見漏洞，而對于存儲型 XSS漏洞尚無自動化