基于灰盒測試的Web應(yīng)用程序安全漏洞檢測.pdf

1、Web應(yīng)用程序方便、快捷，已逐漸滲透到人們生活工作的方方面面。隨著Web應(yīng)用程序的廣泛使用，Web應(yīng)用的安全性變得日益重要，對Web應(yīng)用程序進(jìn)行安全漏洞檢測已成為當(dāng)前研究的熱點。測試人員通過收集Web應(yīng)用程序安全漏洞相關(guān)信息，對其進(jìn)行歸納整理，將常見的Web應(yīng)用程序安全漏洞分為數(shù)據(jù)庫注入漏洞(SQLI)、跨站腳本漏洞(XSS)和跨站請求訪問漏洞(CSRF)三類，目前已有一些針對不同安全漏洞的防范、檢測辦法，也存在相應(yīng)的安全漏洞檢測工具，

2、但這些工具常會出現(xiàn)誤報和漏報現(xiàn)象。
　　 為減少Web應(yīng)用程序安全漏洞檢測的誤報和漏報率，本文提出了一種基于灰盒測試的Web應(yīng)用程序安全漏洞檢測方法，針對SQLI、XSS以及CSRF這三種常見的Web應(yīng)用程序進(jìn)行安全漏洞檢測。該方法將基于白盒的靜態(tài)分析技術(shù)和基于黑盒的攻擊特征測試技術(shù)相結(jié)合，利用靜態(tài)分析找到被測程序中所有可能含有安全漏洞的頁面，對這些頁面應(yīng)用攻擊特征測試技術(shù)檢測頁面是否存在安全漏洞。并在此基礎(chǔ)上，設(shè)計實現(xiàn)了一款基