2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩160頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、Web應用程序漏洞掃描器是一個由網(wǎng)管人員和安全專家用于預防和檢測漏洞的工具,常見漏洞如SQL注入、跨站點腳本,和跨站點請求偽造?,F(xiàn)在的大量網(wǎng)絡攻擊都可以部分的歸因于這一事實,即網(wǎng)站管理員沒有使用web應用程序漏洞掃描器去掃描網(wǎng)站中的漏洞。由于缺少正確的安全防范,網(wǎng)絡攻擊威脅已成為一個真正的并且不斷發(fā)展的危害。因為web應用程序的漏洞,每年有成千上萬的企業(yè)和個人數(shù)據(jù)被破壞和丟失。本文提出了一種方法,該方法可以分析網(wǎng)站的漏洞,并對那些極受歡

2、迎的商業(yè)和自由/開放源碼的web應用程序漏洞掃描器的局限性進行研究,通過使用定制的安全與不安全兩個版本的web應用程序作為實驗對象。本文實現(xiàn)了一項重大的改進,即使用上述方法讓web應用程序掃描技術減少誤判(假陽率)和遺漏(假陰率)的漏洞結果的數(shù)目。
  這些掃描工具已經(jīng)被發(fā)現(xiàn)具有缺陷和局限性。研究表明,web應用程序漏洞掃描器并不能始終檢測到漏洞和攻擊媒介,也無法給予有效措施來保障web應用程序的安全。這些工具將漏洞,諸如SQL注

3、入、跨站點腳本(XSS)和跨站點請求偽造(CSRF),插入到準備好的web應用程序中。本文得到的實驗結果表明,使用我們提出的原型可以保證許多流行的開源web應用程序的安全,并且不會影響這些程序的行為。第一個web應用程序是由作者自己開發(fā)和設計的,因此,該工具可以生成一個web應用程序的有漏洞版本。該工具將跨站點腳本(XSS)和跨站點請求偽造(CSRF)漏洞注入到該web應用程序中。這個工具的目的是生成一些能夠生成用以訓練滲透測試人員報告

4、的web應用程序。此外,該工具可以用來注入一些漏洞,這些漏洞無法被目前的免費web應用程序漏洞掃描器檢測到,但可以被滲透測試人員檢測到。本文得出的實驗結果證明,使用本文提出的原型可以保障大量的流行的開源web應用程序的安全,同時不會對這些程序的行為造成消極影響。
  Web應用程序漏洞,例如跨站點腳本、跨站點請求偽造和SQL注入,這些是當今互聯(lián)網(wǎng)最為緊迫的安全問題。事實上,web應用程序漏洞是廣泛存在的,占了常見的漏洞和隱患數(shù)據(jù)庫

5、[1]漏洞報告中的很大一部分;它們經(jīng)常成為自動攻擊的目標;而且,如果成功利用此漏洞,會進行受到嚴重的攻擊,如數(shù)據(jù)外泄和隱蔽強迫下載的攻擊。在這項研究中,這種情況下的web應用程序的安全測試顯得至關重要。
  本文討論的三類攻擊是特別常見且極具破壞力的安全漏洞。在SQL注入(SQLI)中,攻擊者通過利用從用戶到數(shù)據(jù)庫的驗證不充分的數(shù)據(jù)流執(zhí)行惡意數(shù)據(jù)庫語句。在跨站點腳本(XSS)中,攻擊者利用驗證不充分的輸出到HTML的數(shù)據(jù)流,在受害

6、者的計算機上執(zhí)行惡意代碼;同時,跨站點請求偽造(CSRF)允許攻擊者在用戶不知情的情況下,執(zhí)行未經(jīng)授權的語句。一個攻擊請求利用瀏覽器為每個請求附加有效會話信息的事實。因此,首先在瀏覽器尋找攻擊的跡象,并采取適當?shù)男袆?。這些漏洞的目標雖然各不相同,一個漏洞運行不受信任的代碼,而另一個漏洞可能用于劫持身份驗證,但當這些漏洞攻擊結合,其聯(lián)合起來的危害是非常巨大的。
  事實上,我已經(jīng)創(chuàng)造了一個用于識別SQLI,XSRF和XSS漏洞的新的

7、技術,通過在虛擬仿真環(huán)境下實現(xiàn)了一些web安全漏洞工具,用以發(fā)現(xiàn)web應用程序中攻擊者精心設計的代碼,其中這些web應用程序是我為真實生活場景開發(fā)的。該技術可應用于未修改的現(xiàn)有代碼中,并能創(chuàng)建有暴露漏洞的具體輸入,該技術運行于軟件被部署之前,對發(fā)布的軟件而言沒有額外開銷,它通過分析應用程序內(nèi)部的代碼來發(fā)現(xiàn)易受攻擊的代碼。作為我的技術實現(xiàn),我在PHP/MySQL應用程序上部署幾個安全工具,這些自動化工具可用于發(fā)現(xiàn)SQLI、XSRF和XSS

8、攻擊。Web應用程序掃描器事實上在本文中用于漏洞的發(fā)現(xiàn)(在實際情況中,web應用程序掃描器通常被定位為“點擊”滲透測試的工具)。在過去的幾年中,他們已成為了一些標準中一項要求,最明顯的就是在支付卡行業(yè)數(shù)據(jù)安全標準中。然而,web應用程序掃描器有局限性。
  本論文很專業(yè)的應用web服務器測試平臺來分析web應用程序漏洞掃描器在虛擬的仿真環(huán)境中的局限性。此外,本論文的每一章使用可靠的等效目標的子標題來包含具體描述主題的結構性啟發(fā)。按

9、時間順序,這篇高度專業(yè)的安全相關的論文提供如下所需的結構,以確保在其內(nèi)容的完整性。本文第一章的概述更加廣泛,包括了背景介紹、研究動機、問題陳述、文中常用術語的定義、全文組織、主要貢獻和總結。第二章包含3個重要的文獻綜述小節(jié)(2.1,2.2,2.3),強調(diào)了用在這個研究中的web漏洞攻擊基本上都是生動具體的,并且在工程實例中有經(jīng)常被提到的跡象。因此,通過揭示在正常的工作環(huán)境中開發(fā)的具體因素,2.1節(jié)的SQL注入(SQLI)攻擊方案會在不同

10、的部分被闡述。在仿真環(huán)境中,我專門開發(fā)了一個獨立網(wǎng)站,故意在源代碼中生成了一些漏洞,用于找出SQL注入式攻擊。導致了另一個web相關應用程序產(chǎn)生預防方法,均以書面形式和編程方式實現(xiàn)。兩個web相關的系統(tǒng)出于安全和非安全的目的被建創(chuàng)建。2.2節(jié)對跨站點請求偽造(XSRF)攻擊的分析和預防技術進行了解釋,跨站請求偽造漏洞和保護機制是最容易被忽視的事實,保護機制是關于對任何web應用程序保護的最高行動指南。2.3節(jié)闡明跨站點腳本(XSS)攻擊

11、及在開發(fā)中的促成因素。該節(jié)用許多例子來展示,用單個的解釋來描述在不同的維度中跨站點腳本(CSS)攻擊的類型。同時還提出了預防機制,以減少攻擊的復發(fā)。第三章(3)包含了研究方法、相關研究、研究設計和數(shù)據(jù)需求。這一節(jié)還特別闡述web應用程序漏洞掃描器的商業(yè)版和試用版以及應用于學術界的專有web應用程序漏洞掃描器。在這一部分中,利用本文研究中使用的圖形量化的掃描器,可以定性的比較掃描器檢測功能。第四章描述了性能結果和分析,特別是達了web漏洞

12、掃描器的結果量化分析統(tǒng)計數(shù)據(jù)的細節(jié)。對于突出的漏洞(SQL注入、跨站腳本和跨站請求偽造),掃描器性能的局限性被嚴格地表達,以求得到最有意義的結果,并且還進行了全面的分析。第五章最后包括了結論和未來的工作,以及引用、致謝、縮寫表和附錄。
  此外,為了讓實驗能夠獲得具有實際意義的結果,自變量、因變量和控制變量都需要進行適當?shù)倪x擇。在這個測試方法中,web服務器相關技術保持不變(控制變量),修改故意構造的漏洞的數(shù)量(自變量)。通過確定

13、web服務器不改變和改變故意構造的漏洞數(shù)量,最終那些被web應用程序漏洞掃描器發(fā)現(xiàn)和忽略的漏洞(因變量)都將被觀察到和分析到。這個方法提供了一組假陽率(誤判)和假陰率(遺漏)的結果,通過分析這些數(shù)據(jù),可以發(fā)現(xiàn)是什么原因造成了錯誤結果。
  使用單一試驗平臺的web服務器是有利的,因為它提供的一個受控制的web應用程序環(huán)境將保持不變,并且在測試過程中保持一致性。如果使用不一致的方法,web漏洞掃描器測試的那些web應用程序將有著明顯

14、不同數(shù)量的頁面、服務器端技術和其他層面的復雜性,其后的分析將難以完成。保證實驗中其他因素不變,只需關注web漏洞掃描技術的缺陷,而無需擔心問題是由于其他因素造成的。服務器技術Wampserver(windows、Apache、MySQL和PHP)保持不變,但故意構造的漏洞的數(shù)量將被修改。由于所使用的源代碼是我自己開發(fā)的,因此預期的結果是已知的,不會存在大量未知數(shù)量的漏洞。在分析web漏洞掃描器方面,該方法是一種非常有效的方法,因為可以對

15、漏洞掃描器誤判或遺漏的漏洞進行定位。通過存在于掃描器之中的假陽率和假陰率的確切數(shù)字,每一個掃描器的結果都將可以確定。
  這種測試方法可以從使用黑盒分析和白盒分析中受益。黑盒分析是一種滲透測試,通過對應用程序操作的分析來尋找漏洞。白盒分析是另一個漏洞檢測技術,只有在源代碼可見情況下,才能用來發(fā)現(xiàn)程序的安全漏洞。
  本研究提出了一種可行的方法來發(fā)現(xiàn)web應用程序漏洞掃描器的局限性,利用一個web服務器測試平臺進行漏洞檢測和分

16、析。對本研究中使用的web應用程序漏洞掃描器的選擇,是基于它們能探查到的漏洞數(shù)量和種類、檢測的漏洞的重要性和使用的掃描技術這三個方面來決定的。出于這項研究的需要,我在虛擬仿真環(huán)境中搭建了于Wampserver、Apache、MySQL和PHP框架的web服務器測試平臺,所有用于測試的web應用程序都被部署在該平臺上。之所以選擇該技術框架是因為它的流行性和廣泛的使用度。每個web應用程序漏洞掃描器都按照規(guī)定方法對web應用程序進行測試,其

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論