基于灰盒測(cè)試的Web應(yīng)用程序安全漏洞檢測(cè).pdf

1、Web應(yīng)用程序方便、快捷，已逐漸滲透到人們生活工作的方方面面。隨著Web應(yīng)用程序的廣泛使用，Web應(yīng)用的安全性變得日益重要，對(duì)Web應(yīng)用程序進(jìn)行安全漏洞檢測(cè)已成為當(dāng)前研究的熱點(diǎn)。測(cè)試人員通過(guò)收集Web應(yīng)用程序安全漏洞相關(guān)信息，對(duì)其進(jìn)行歸納整理，將常見(jiàn)的Web應(yīng)用程序安全漏洞分為數(shù)據(jù)庫(kù)注入漏洞(SQLI)、跨站腳本漏洞(XSS)和跨站請(qǐng)求訪問(wèn)漏洞(CSRF)三類(lèi)，目前已有一些針對(duì)不同安全漏洞的防范、檢測(cè)辦法，也存在相應(yīng)的安全漏洞檢測(cè)工具，

2、但這些工具常會(huì)出現(xiàn)誤報(bào)和漏報(bào)現(xiàn)象。
　　 為減少Web應(yīng)用程序安全漏洞檢測(cè)的誤報(bào)和漏報(bào)率，本文提出了一種基于灰盒測(cè)試的Web應(yīng)用程序安全漏洞檢測(cè)方法，針對(duì)SQLI、XSS以及CSRF這三種常見(jiàn)的Web應(yīng)用程序進(jìn)行安全漏洞檢測(cè)。該方法將基于白盒的靜態(tài)分析技術(shù)和基于黑盒的攻擊特征測(cè)試技術(shù)相結(jié)合，利用靜態(tài)分析找到被測(cè)程序中所有可能含有安全漏洞的頁(yè)面，對(duì)這些頁(yè)面應(yīng)用攻擊特征測(cè)試技術(shù)檢測(cè)頁(yè)面是否存在安全漏洞。并在此基礎(chǔ)上，設(shè)計(jì)實(shí)現(xiàn)了一款基