文档介绍：西安电子科技大学
硕士学位论文
Web应用安全漏洞测试工具Punks的设计与实现
姓名:彭寒
申请学位级别:硕士
专业:软件工程
指导教师:刘西洋;司立雄
20070101
摘要τ玫陌踩丫晌D壳巴绨踩ń绻刈⒌慕沟悖绾卧诙淌奔淠诩卸快速的发现τ弥械拇罅康陌踩┒丛嚼丛轿0踩ḿ宜厥印1疚脑谡庋的背景下研究了τ冒踩┒吹闹掷嗪臀:Σ⒍跃蔡┒醇觳饧际鹾投洞检测技术进行了比较和评价,指出动态漏洞测试技术是最适合于τ玫陌全漏洞测试的方法。在此基础上,我们设计和实现了一个τ冒踩┒床馐工具的爬行模块的设计与实现来源于对开源的网络爬虫软件母男矗锏搅烁咝阅艿亩嘞叱膛佬小NA颂岣咝阅埽颐巧杓坪褪迪了一个具有队列缓冲机制和多线程机制支持的注入/分析组件,并把改写后的网络爬行组件和它很好的集成,实现了一个高性能的τ冒踩┒床馐怨ぞ摺τ冒踩ò踩┒床馐源砦笞⑷爰际跬缗莱鍼关键词:
甌..甀瓾瓼/甀瑆瓸,;
日期鱼哔本人签名:阆螅日期塑鳎凰日期兰型主。西安电子科技大学学位论文独创性虼葱滦声明秉承学校严谨的学风和优良的科学道德,本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果;也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处,本人承担一切的法律责任。关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保留送交论文的复印件,允许查阅和借阅论文;学校可以公布论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证,毕业后结合学位论文研究课题再撰写的文章一律署名单位为西安电子科技大学。C艿穆畚脑诮饷芎笞袷卮斯娑本学位论本人签名导师签名:年解密后适用本授权书。
第一章绪论论文的工作背景本论文的课题来源为某研究项目,该课题重点解决软件安全漏洞与攻击的分已经成为人类所构建的最丰富多彩的虚拟世界,在世界各地,用户的企业把他们的充满宣传材料的、只起推广作用的站点逐步改造成了担负重要任务问题及篡改网页等问题越来越引起了人们的关注,因为随着谌莸脑黾印⒂进行了龆嘣碌乃鸭惚嗖诺贸龃吮ǜ妫在给出的各类应用攻击列表中,排在最前面的是各种自动“机器人攻击保饫喙セ魍ǔU颊攵訵应用的所有攻击的%至%。这些攻击能随机搜索已知或未知的缺陷,而不需要人工干预,导致其越来越流行。有些类型险,并采取必要的手段来避免危险的安全攻击。而传统的网络安全一直倾向于采用被动式的防御策略,如防火墙,入侵检系统等。其关注的焦点也集中在网络的底层而忽略了τ贸绦虿第七层陌τ冒踩垂叵底派桃祷沟纳桃祷芎筒撇陌踩约肮液驼陌踩ā举例来说,τ贸绦虬踩ú⒉唤鼋鍪钦镜闶褂位加密保护了人们的析、测试与防护技术。本文主要解决的是τ贸绦虻陌踩┒从牍セ鞯姆治和测试工具的设计与实现。数目正在飞速增长。而魑狪献钪饕5姆瘢丫晌M蛑谥跄康慕点和的象征。几乎所有的政府、公司、机构,甚至是个人都建立了自己的镜恪>荼ǖ溃衷赪的内容正以每天几百万页的速度增加。越来越多的的网站。随着及煌⒄蛊鹄吹幕褂邪踩侍猓刻於荚诜⑸暮诳腿肭用程序功能的丰富和用户的普及,安全问题已经不容忽视。根据新近公布的一份现实威胁分析报告,τ谜晌W畲蟮陌踩さ恪9外一家安全公司数据来源于应用防御系统的用户,报告指出,与已确定的攻击绮《尽⑼绻击、公共缺陷公布、垃圾邮件或网络钓鱼企图等啾龋泄豔应用问题的数据还很缺乏。的攻击数量较少,但更加危险,如跨站点脚本、⑷,以及标准缓冲区溢出。该公司的担笠当匦肴鲜兜阶约旱母髦钟τ玫姆全。有许多调查研究论及了病毒、网络攻击、公共缺陷公布、垃圾邮件和网络钓鱼企图,但很少关注位于防火墙和传统网络安全范畴之外的基于挠τ谩6信用卡。踩1;びτ贸绦蛉绾味寥⌒庞每ǎ绾伟研庞每ù娣诺绞菘
国内外研究现状中,随后又如何从数据库中取回信用卡。如果恶意用户能够进行一次⑷牍击,那么仅用网络浏览器就能窃取到数据库信息,于是氖褂镁秃廖抟庖濉比财政数据的安全更加严重的是涉及国家和政府安全的数据,它们都会成为身份盗用的牺牲品,也可能成为安全漏洞利用者的目标。τ贸绦虻陌踩婕暗远不只是金钱,对于某些组织来说,任何应用漏洞都会有严重的后果。在测试方面,传统的软件测试方法绱肷蟛椋蔡馐缘倾向于证明软件的功能特性,而忽略了大量的安全漏洞,导致经过测试的软件虽然能够正确运行,却无法保证应用程序免受黑客的攻击。即传统的网络安全测试手段是不完备的。为了集中的找出τ贸绦蛑写嬖诘陌踩┒矗档陀τ贸绦虻姆缦