文档介绍:Web应用中安全漏洞检测技术研究
创新性声明
本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研
究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文
中不包含其他人已经发表或撰写过的研究成果;’也不包含为获得西安电子科技
大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本
研究所做的任何贡献均己在论文中做了明确的说明并表示了谢意。
申请学位论文与资料若有不实之处,本人承担一切相关责任。
本人签名: i全:堑
关于论文使用授权的说明
本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:研
究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保
证毕业离校后,发表论文或使用论文工作成果时署名单位仍然为西安电子科技
大学。学校有权保留送交论文的复印件,允许查阅和借阅论文;学校可以公布
论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存论文。保
密的论文在解密后遵守此规定
本人签名: 日期:垄!生!塑塑
导师签名: 日期:兰!生!&!!
摘要
摘要
随着Intem9t的不断发展,众多基于w曲的应用程序以强大的功能和实用
性等优点不断受到人们青睐,伴随而来的针对W曲应用程序的攻击数量也大幅
度上升,由此引发的w曲安全事件层出不穷。如何检测W曲应用程序的安全漏
洞并做出相应的防御措施是当前w曲安全的研究热点。本文针对XSS漏洞及其
检测技术进行了研究,主要工作如下:
1 总结分析了当前的W曲应用安全现状和当前的漏洞检测技术,主要包
括人工分析、Fuzzing技术、补丁对比技术、静态和动态分析技术。
2 深入研究了XSS漏洞的各项内容,主要包括该漏洞的原理、危害、触
发机制、利用方法及相应的防范措施。
3 分析比较了几种W曲应用的漏洞检测工具;并详细分析了Pams各个
模块的工作原理,指出了它存在的优点和不足。
4 针对Paros几乎无法检测存储型XSS漏洞的问题,设计开发了一个新
的插件,实现了Paros对存储型跨站脚本漏洞检测。
5 改进了Paros的跨站脚本漏洞检测模块,设计开发了一个混淆器,并将
其加入到Paros的跨站脚本漏洞检测模块中,有效的提高了Paros对所
有类型的跨站脚本漏洞检测的效率。
本文的创新主要在于实现了Paros对存储型XSS漏洞的检测,并从很大程
度上提高了Paros对所有类型的跨站脚本漏洞检测的效率。
关键词:hb安全漏洞检测X豁Paros
Abs仃act
Abstract
Withthefast of basedonwebenVironment
deVelopmentintcmet,applications
emore卸d duet0their
mo陀popular
鲫d arcsult,the attacl S 0nW曲
t0detect
hasbeen
印plicationssubstantially
ofweb esa oftheresearchofweb
applications hotspIot securi哆This
paper
XSS itS the
doesaresearchon Vulnerabilities扑ddetection main
techniques,锄d
contributionsofthe aresummarizedasfol】ows.
paper
This thecu玎entsituati∞ofweb
1 summarizes卸d锄alyzes secudty
paper
彻dthe detection as
popular techniques,such
parison,static觚alysis卸ddynamicanalysis;
a ofXSS
2 ThispapergiVesdeep a¨aspects Vulnerability;
the and
includingprinciple,danger,triggermechanism,exploitation
counte咖easuresofthis
corresponding VulnerabiIi哆;
web
This contr:lStsseVeral detectiontools