文档介绍：西安电子科技大学
硕士学位论文
基于网络爬虫的SQL注入与XSS漏洞挖掘
姓名:沈寿忠
申请学位级别:硕士
专业:密码学
指导教师:张玉清
20090101
摘要信息社会的到来,给全球带来了信息技术飞速发展的契机。信息技术的应用,引起了人们生产方式,生活方式和思想观念的巨大变化,极大地推动了人类社会的发展和文明的进步,把人类带入了一个崭新的时代。随着计算机及网络通信技术的迅速发展,如今的互联网已经成为触及全球任何角落的开放网络,给人们带来了实时、方便、快捷及低成本的服务。与此同时,网络安全问题也日益突出。如何挖掘网络应用软件的安全漏洞,是当前漏洞挖掘技术的研究热点。本文以τ贸绦蛑械腟注入及┒次Q芯慷韵螅饕9ぷ饔幸下几方面:总结分析了静态分析技术、际跫岸魇约际跽馊致┒赐诰技术,并针对静态分析技术进行了重点分析总结。详细剖析了⑷爰癤漏洞,主要包括其产生原因、危害、避免方式、检测方法等。针对⑷爰癤漏洞的特性,改进了网络爬虫技术,并利用该技术收集τ贸绦蛑锌赡艽嬖赟注入及┒吹目梢傻愕男畔ⅰ在漏洞检测过程中,使用┒赐诰蚣际酰⒔岷蟂注入及漏洞的检测技术,对可疑点进行注入测试。实现了一个针对τ贸绦蛑械腟注入及┒吹淖远诰蚬ぞ关键词:漏洞网络爬虫⑷隭。
,,.、,—,:,
本人签名:加务嘉关于论文使用授权的说明创新性声明本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:研究生本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果;也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处,本人承担一切相关责任。在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业离校后,发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学校有权保留送交论文的复印件,允许查阅和借阅论文;学校可以公布论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存论文。C艿穆畚脑解密后遵守此规定本人签名:导师签名:
┒赐诰虻姆⒄瓜肿随着技术的发展,τ贸绦虻玫搅巳找婀惴旱挠τ茫挥氪送保τ贸绦虻匚坏奶嵘仓苯拥贾铝似渎┒纯赡艽锤NO盏陌踩肌τ贸绦是指用户界面驻留在榔髦械娜魏应用程序。它基于诵校堑湫偷匿榔鳎衿骷芄沟牟铩8菝拦漏洞数据库的统计,在和年上报的漏洞中,τ贸绦蚵┒凑甲苁谋壤直鹞ズィ晟报的漏洞中,τ贸绦蚵┒吹谋壤ァ8軴注:是世界上最知名的踩胧菘獍踩芯孔橹的统计,基于τ贸绦的十大安全漏洞中,跨站脚本,畇和F渲凶钪饕5囊恢这两大类型的漏洞高居榜首,分别为%和%。再根据我国/国家计算机网络应年网络安全工作报告》,网络仿冒事件、网页恶意代码事件及漏洞事件%芍N夜腤安全也不容乐观。由此看来,如何保障τ贸绦虻陌踩裕豢杀苊獾某晌A巳济贾薄漏洞挖掘技术,是站在一个攻击者的角度去审核代码安全的一种技术手段。减少图的.%甇
年网络安伞事件类型分布漏目诰蛲妒跻恢笔歉章绻ィ甴肯最感兴趣的问题,漏洞挖掘的范俐也在随着技术的提州而有所变化。在前期针对缓冲区溢出,格式化字符串,堆溢,溢出等技术都足针对募葱形募或者文件可执行文件穆┒赐诰蚣际酰辉谡攵訣文件及文件ぁ癳与的漏洞挖掘过程中,出现了很多的漏洞挖掘技术,但是针对募癙募穆┒赐诰蚴终停留在了黑盒测试ǖピ:诤胁馐阶段。目前的漏洞挖掘技术有很多种,主要分为静态分析技术⒍适约际提出静态源代码分析方法,对数据流进行分析,依靠别名提高准确率,;意大利的甤峁┝苏攵訵应用程序的开源工具:此外,还有甌、雀鋈搜芯空叨如操作麻烦钚行问、测试点扶舣不全面环治鰎阿页中的表单,而忽视了网页叶问某唇、对导苁降耐痉治霾蛔愕取9谏孀憧A煊虻姆要订·蒲г盒畔踩ü抑氐闶灯铩唬本┯实绱笱В浜捍笱В砟洗笱等婶稀,攻击者眼篲的τ贸膛虻陌哺雎﹊拖唷:加强了τ贸绦虻陌踩浴这是可以从根本卜解决程序安全隐患的种有效手段。际。国际上针对τ贸绦蚵┥就诰蛘饪翁獾难芯渴加诙兰湍0碌乩和τ贸绦蚵┒赐诰蚣际踅辛搜芯俊5钦庑┕ぞ卟看嬖谧乓欢ǖ牟蛔阒Γ蕈丁网络爬虫的胗隭黼嗣挖矗图矣绨踩录嘈头植日∞’
课题背景章节安排本章小结基于以上原因,中国科学院研究生院国家计算机网络入侵防范中心承担了国家自然科学基金委员会的项目钅勘嗪牛“网络应用软件安全漏洞挖掘技术研究”的研究课题。该项