Web应用中安全漏洞检测技术的研究
随着Internet的不断发展,众多基于Web的应用程序以强大的功能和实用性等优点不断受到人们青睐,伴随而来的针对Web应用程序的攻击数量也大幅度上升,由此引发的Web安全事件层出不穷。如何检测Web应用程序的安全漏洞并做出相应的防御措施是当前Web安全的研究热点。本文针对XSS漏洞及其检测技术进行了研究,主要工作如下:
1)总结分析了当前的Web应用安全现状和当前的漏洞检测技术,主要包括人工分析、Fuzzing技术、补丁对比技术、静态和动态分析技术。
2)深入研究了XSS漏洞的各项内容,主要包括该漏洞的原理、危害、触发机制、利用方法及相应的防范措施。
3)分析比较了几种Web应用的漏洞检测工具;并详细分析了Paros各个模块的工作原理,指出了它存在的优点和不足。
4)针对Paros几乎无法检测存储型XSS漏洞的问题,设计开发了一个新的插件,实现了Paros对存储型跨站脚本漏洞检测。
5)改进了Paros的跨站脚本漏洞检测模块,设计开发了一个混淆器,并将其加入到Paros的跨站脚本漏洞检测模块中,有效的提高了Paros对所有类型的跨站脚本漏洞检测的效率。
本文的创新主要在于实现了Paros对存储型XSS漏洞的检测,并从很大程度上提高了Paros对所有类型的跨站脚本漏洞检测的效率。
网络应用程序;跨站脚本;安全漏洞检测;拒绝服务攻击;触发机制;补丁对比
西安电子科技大学
硕士
密码学
张玉清
2011
中文
TP393.08;TN918.4
54
2012-07-31(万方平台首次上网日期,不代表论文的发表时间)