Web二阶安全漏洞检测研究

发布时间：2024-03-09 01:59

　　当今网络的迅速发展,使得Web应用在人们生活中扮演着重要角色,然而各种层出不穷的安全漏洞对此发展构成了严重威胁。通常有两种方法应对这种威胁:人工检测漏洞方法和工具化检测漏洞方法。人工检测漏洞的方法随着代码量的几何增长越来越力不从心。工具化检测漏洞的方法是主流检测方式。然而大部分工具都是针对漏洞基本特征进行检测的,很少考虑到漏洞的二阶形式。二阶漏洞比一阶漏洞更隐蔽、破坏性更大。本课题在对Web渗透测试原理和二阶攻击原理深入研究分析后,提出一种不需Web应用源代码检测Web二阶安全漏洞的方法——二次爬取扫描检测法TCD(Two Crawlings Detection)。该方法通过两次爬取扫描检测Web二阶安全漏洞,第一次爬取全站URL、发送锚点,第二次爬取存放锚点的URL,针对这些可疑URL专项检测二阶Web安全漏洞。这种方法使得检测二阶Web安全漏洞的时间损耗大大减少。TCD检测方法弥补了现有工具化检测Web安全二阶漏洞的不足,为Web安全提供更深层次的保障。

【文章页数】：54 页

【学位级别】：硕士

【部分图文】：

图2-1网站评级相关要求[31]

2.1Web安全渗透测试方法在讲解Web安全[21][22][23][24][25][26]渗透测试方法之前，我们需要先了解渗透测[27][28][29][30]。百度百科上的渗透测试并没有一个标准的定义，国外的一些安全组织达共识的通用说法是：渗透测试是通过模拟恶意黑客的攻....

图2-2网络漫画SQL注入漏洞[32]

2.2.1SQL注入漏洞SQL注入漏洞[11][15][27]是一种对用户输入处理不当而导致SQL语句偏离本意的漏洞。绝大多数的网站管理数据时都会使用SQL关系型数据库，当用户的操作涉及到数据库时，要千万小心，如果处理不当就会产生SQL注入漏洞，从而给Web....

图2-3XSS漏洞页面正常显示情况

图2-3XSS漏洞页面正常显示情况Figure2-3NormaldisplayofXSSvulnerabilitypage如果name=<script>alert(document.cookie)</script>这时页面会弹出Cookie信息，如图2....

图2-4XSS漏洞页面获取Cookie信息

图2-4XSS漏洞页面获取Cookie信息Figure2-4XSSvulnerabilitypagetoobtainCookieinforma就是在动态生成HTML文档时，HTML语法中有特殊意义本被注入，产生了不该发生的结果。HTML语法中有特....

本文编号：3922727