Web應用系統(tǒng)漏洞檢測技術研究與實現(xiàn).pdf

1、隨著Web技術的發(fā)展，網(wǎng)站給人們帶來的體驗越來越好。特別是Web2.0，告別了沉重的請求-返回的模式，采用更輕便的局部刷新模式，讓用戶體驗得到極大的提高。其中，Ajax技術在Web2.0中占據(jù)了主導地位。然而Ajax技術將一部分邏輯處理從服務器端轉(zhuǎn)移到客戶端，暴露了更多的接口，增加了許多針對Web應用程序的安全威脅，其中嚴重程度最高的就是SQL注入攻擊和跨站腳本攻擊。國際開源安全組織公布的十種最嚴重的Web應用程序安全漏洞排行榜中可知，

2、SQL注入攻擊和跨站腳本攻擊一直處于前三的位置。這些漏洞可在用戶毫不知情的情況下進行攻擊，威脅性很大。就目前而言，采取較多的行為都是被動的防范措施，比如防火墻等。這樣做明顯忽略應用程序級別的安全問題，使之在高層面缺乏有效的防范方式。因此依據(jù)XSS跨站腳本和SQL注入等常見漏洞的產(chǎn)生原因和檢測方法，設計并實現(xiàn)Web應用安全漏洞自動檢測系統(tǒng)作為輔助工具，提早發(fā)現(xiàn)應用程序級別的安全問題可以防患于未然。
　　本文所做的研究工作包括以下的幾

3、個方面:
　　(1)重點分析Web應用程序的工作流程和可利用的各種安全漏洞。針對跨站腳本攻擊和SQL注入的攻擊原理及其分類進行綜述，并給出漏洞檢測的研究現(xiàn)狀，同時對前人所研究的內(nèi)容進行比較分析。
　　(2)分析不同種類的網(wǎng)絡爬蟲過程中存在的問題，設計一個高效并合適本系統(tǒng)的網(wǎng)絡爬蟲，然后通過對XSS跨站腳本漏洞和SQL注入漏洞攻擊手段的研究，創(chuàng)新性的提出了攻擊向量的功能類型拆分與隨機組合以及變形規(guī)則來提高系統(tǒng)檢測的準確性。

4、r>　　(3)提出基于頁面代碼行為的漏洞檢測算法和基于JavaScript中的XMLHttpRequest檢測算法，根據(jù)網(wǎng)絡爬蟲提取到的輸入點，注入錯誤數(shù)據(jù)，運用動態(tài)檢測技術，細粒度的檢測Web應用中存在的XSS跨站腳本漏洞和SQL注入漏洞。
　　(4)對系統(tǒng)進行詳細的設計，運用C＃實現(xiàn)漏洞檢測工具SXFINDER。詳細說明整個系統(tǒng)的流程和各個功能子模塊的設計。
　　(5)將系統(tǒng)運用到真實的項目中，對系統(tǒng)進行了詳細功能模塊測

5、試和性能測試，并與其它安全漏洞檢測軟件進行對比，驗證本文提出的算法具有可行性、設計的軟件具有可靠性。
　　本文提出的方法中主要有以下創(chuàng)新點:
　　(1)對網(wǎng)絡爬蟲進行改進，主要在三方面:①合適的爬蟲搜索策略;②正確的URL合法性要求;③高效率的去除重復URL。
　　(2)提出了一種攻擊向量的拆分與隨機組合以及變形規(guī)則的方法來生成攻擊向量。主要思想是將攻擊向量按不同功能類型拆分到不同的模板庫，再通過模板庫之間隨機組合與加