2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩77頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、Web應(yīng)用已經(jīng)在各行各業(yè)扮演了越來越重要的角色,受到了來自大量匿名用戶的訪問,這其中也包括惡意用戶。這種廣泛的應(yīng)用導(dǎo)致 web應(yīng)用程序容易受到各種攻擊,如 SQL注入(C組)和跨站點腳本(XSS)。自動化黑盒漏洞測試是Web安全測試普遍采用的一種方法。Web應(yīng)用漏洞掃描器是一種用來檢查 Web程序的安全漏洞的自動化黑盒測試工具。
  更豐富、更先進(jìn)技術(shù)的出現(xiàn),如 AJAX(異步 JavaScript和XML),使Web應(yīng)用具有更好

2、的靈敏性,互動性和用戶友好性。這些應(yīng)用程序,通常被稱為富互聯(lián)網(wǎng)應(yīng)用(RIA),改進(jìn)了傳統(tǒng)的Web應(yīng)用程序在兩個方面:第一,他們增加更多的處理能力,即在客戶端進(jìn)行動態(tài)操作。第二,RIA可以啟動與服務(wù)器的異步通信。然而同時這種技術(shù)也引入了新的挑戰(zhàn)。一個重要的挑戰(zhàn)是很難自動抓取這些現(xiàn)代應(yīng)用,不采用爬蟲技術(shù)情況下,無法搜索應(yīng)用程序文本內(nèi)容中的索引以及進(jìn)行自動測試。
  盡管 Ajax名字上與 XML關(guān)聯(lián),但通常采用JSON(JavaScr

3、ipt Object Notation)技術(shù)。JSON是一種輕量級的數(shù)據(jù)交換格式,不僅易于人閱讀和編寫,同時也易于機器解析和生成。它是基于ECMA-262標(biāo)準(zhǔn)第三版 JavaScript編程語言的一個子集。JSON是主要用于服務(wù)器和Web應(yīng)用程序之間的數(shù)據(jù)傳輸,作為XML的替代。在檢測 AJAX/ JSON代碼隱藏漏洞過程中,掃描儀需要執(zhí)行 Ajax代碼以及處理和審查JSON參數(shù)。
  WAVSs的評估表明這些工具對存儲型漏洞(持

4、久性XSS漏洞和二階SQLI)和惡意文件上傳的檢測能力不足。存儲型漏洞風(fēng)險性非常高,攻擊代碼一次注入后,每次訪問該網(wǎng)頁都會執(zhí)行,且很難被自動掃描儀檢測。然而,最先進(jìn)的WAVSs可以檢測這些漏洞。
  Web應(yīng)用漏洞掃描器是一種用來檢查Web程序的安全漏洞的自動化黑盒測試工具。市場上可以找到大量的這種測試工具,Web應(yīng)用程序開發(fā)人員使用它們來驗證其產(chǎn)品的安全性。雖然對Web漏洞掃描器的漏洞檢測做了大量的研究,但是很少將技術(shù),規(guī)范,研

5、究成果這三者有機結(jié)合起來,構(gòu)建一個全面的Web自動化黑盒安全測試。此外,漏洞評估沒有考慮到正在興起的Web開發(fā)新技術(shù),如Ajax。
  本文詳細(xì)介紹了Web應(yīng)用的自動化黑盒測試漏洞研究,并對5個安全掃描器在XSS、SQL注入、惡意文件上傳、Ajax請求和JSON數(shù)據(jù)漏洞等方面的檢測能力進(jìn)行評估。
  論文中實驗涵蓋了WAVS評價標(biāo)準(zhǔn),黑盒測試指南,漏洞掃描儀,漏洞測試以及檢測結(jié)果,掃描儀支持的輸入傳遞方法,爬蟲和漏洞檢測的挑

6、戰(zhàn),這些工具包含的Web應(yīng)用技術(shù),并提出了提高效率的方法途徑。
  測試套件放在一個真實的網(wǎng)上商城中運行,該應(yīng)用包含了大量的安全漏洞,并且這些漏洞受到攻擊的難易程度不同。漏洞攻擊包括一階和二階的SQL注入、反映型和持久型的XSS,惡意文件上傳,路徑遍歷,會話管理,信息泄露。套件中還包括檢測Ajax請求和JSON數(shù)據(jù)中安全漏洞的測試用例。
  本文實驗結(jié)果表明,黑盒漏洞掃描器在反映型XSS、基本的SQL注入,惡意文件上傳等方面

7、的漏洞檢測取得了滿意效果。然而,掃描儀對顯式配置的存儲漏洞仍然探測不到。持久性漏洞檢測差的主要原因是持續(xù)的攻擊需要兩個或兩個以上的步驟完成攻擊。首先,攻擊必須存儲在服務(wù)器上(在一個數(shù)據(jù)庫,文件系統(tǒng),或其他位置)。其次,攻擊代碼可以從服務(wù)器檢索和執(zhí)行。在以上步驟中WAVSs會出現(xiàn)問題,因此不能檢測這些漏洞。
  黑盒漏洞掃描器存在多個方面的缺點,包括客戶端代碼抓取,攻擊代碼的選擇,服務(wù)器應(yīng)答分析。盡管Ajax和JSON技術(shù)在互聯(lián)網(wǎng)中

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論