首页> 正文

Web输入验证脆弱性检测方法研究与改进

2020-12-29阅读(627)

Web输入验证脆弱性检测方法研究与改进

论文摘要

随着web技术的不断发展,基于web的应用越来越流行,针对web的攻击也愈加频繁,因此web应用的安全问题正引起广泛关注。web应用遭受安全攻击的来源之一就是用户输入,为了防范web攻击,需要对用户输入进行有效验证。事实上,在web应用中存在着验证不足的问题,因为验证不足导致程序中存在输入验证脆弱性。在输入验证脆弱性检测过程中,评价检测效果的重要指标之一就是能否对web应用中的验证操作进行完整和有效的分析。在检测脆弱性时,将约束提取和约束求解相结合是当前web脆弱性检测的常见模式。该模式能对提取到的表示验证的约束进行评价,可以有效降低分析中的误报率和提升分析结果的准确度,相比其他模式具有优势。本文对这一模式中的两个阶段做了进一步研究,发现在约束提取完整性和评价准确性方面,这种模式还存在不足,并提出改进方法。1.分析了web应用中的参数验证机制和验证不足导致的脆弱性——输入验证脆弱性。根据脆弱性检测的需要对验证操作进行分类,并总结了输入验证脆弱性的危害及常见的攻击。2.总结了输入验证脆弱性检测的主要方法。主要介绍了这些方法的理论基础和适应范围,比较了这些方法的优缺点。发现传统污点分析不能有效提取控制语句中的验证而导致验证提取不完整,字符串分析用于验证评价时重视精度而忽略效率以及分析依赖于具体攻击模式等。3.本文提出一种改进的web输入验证脆弱性检测方案。在验证提取时,通过域粒度的污染标记和污染驱动的切片方法,准确地跟踪污染数据及其传播路径,有效识别程序中包括检查型验证操作在内的所有验证操作,确保验证操作提取的完整性。在字符串分析评价验证操作的验证能力之前,借助验证操作能力分类、输入字符集划分等措施对字符串分析所要处理的对象进行预处理,降低字符串分析过程的负担和分析复杂度。最后,使用变量名相关的验证策略辅助字符串分析,以缓解web脆弱性分析过程中字符串分析对攻击模式的依赖。4.基于改进方案,设计实现了一个用于检测web输入验证脆弱性的原型系统Valer。实验选取了若干开源的PHP程序进行分析,检测其中的SQL注入脆弱性和XSS脆弱性,结果表明本文方法能有效提升分析的效果。

论文目录

  • 摘要
  • Abstract
  • 第一章 绪论
  • 1.1 研究背景
  • 1.2 研究内容
  • 1.3 本文组织
  • 第二章 Web输入验证及脆弱性
  • 2.1 Web输入验证
  • 2.1.1 从表现形式分类
  • 2.1.2 从验证能力分类
  • 2.2 Web输入验证脆弱性
  • 2.2.1 SQL注入脆弱性
  • 2.2.2 跨站脚本(XSS)
  • 2.3 本章小结
  • 第三章 Web脆弱性分析研究
  • 3.1 约束提取
  • 3.1.1 污点分析
  • 3.1.2 符号执行
  • 3.1.3 分析比较
  • 3.2 约束求解
  • 3.2.1 字符串分析
  • 3.2.2 字符串分析用于脆弱性检测
  • 3.2.3 不足之处
  • 3.3 本章小结
  • 第四章 改进的web输入验证脆弱性检测
  • 4.1 改进动机
  • 4.2 验证提取
  • 4.2.1 域粒度污染标记
  • 4.2.2 污染驱动的切片
  • 4.3 验证评价
  • 4.3.1 输入字符集划分
  • 4.3.2 验证操作分类
  • 4.3.3 最小分析域
  • 4.3.4 变量名相关的验证策略
  • 4.4 改进的web输入验证脆弱性检测方案
  • 4.5 本章小结
  • 第五章 设计与实现
  • 5.1 系统框架
  • 5.2 平台介绍
  • 5.2.1 Pixy
  • 5.2.2 dk.brics.automaton和SUSHI
  • 5.3 验证提取模块
  • 5.3.1 污染驱动的切片子模块
  • 5.4 验证评价模块
  • 5.4.1 粗粒度分析子模块
  • 5.4.2 细粒度分析子模块
  • 5.5 本章小结
  • 第六章 实验过程与结果
  • 6.1 实验对象
  • 6.2 实验结果与分析
  • 6.2.1 包含检查型验证操作的验证图
  • 6.2.2 验证图分类情况
  • 6.2.3 包含有意义变量名的验证图
  • replace操作'>6.2.4 strreplace操作
  • 6.2.5 常量相关的连接操作
  • 6.3 本章小结
  • 第七章 总结与展望
  • 7.1 本文工作的创新点
  • 7.2 进一步工作
  • 参考文献
  • 简历与科研成果
  • 致谢

    • 相关论文文献

    • [1].我国贫困脆弱性研究进展及评述[J]. 农村经济与科技 2019(23)
    • [2].生计脆弱性概念、分析框架与评价方法[J]. 地球科学进展 2020(02)
    • [3].甘南高原乡村社会固有脆弱性及其影响因素[J]. 地理科学 2020(05)
    • [4].提升抗逆力:乡村振兴进程中农民生计系统“风险-脆弱性”应对策略研究[J]. 云南社会科学 2020(04)
    • [5].老年人受骗脆弱性的理论与测量方法[J]. 应用心理学 2020(03)
    • [6].多重压力下重点生态功能区农户生计脆弱性——以甘南黄河水源补给区为例[J]. 生态学报 2020(20)
    • [7].大学生生活满意度、自尊与危机脆弱性的关系研究[J]. 赣南医学院学报 2018(10)
    • [8].健康贫困及健康贫困脆弱性内涵探析[J]. 医学与社会 2018(05)
    • [9].脆弱性人群对雾霾的认知与应对——基于福州市的调查分析[J]. 福建师范大学学报(自然科学版) 2016(05)
    • [10].社会脆弱性概念、分析框架与评价方法[J]. 地理科学进展 2014(11)
    • [11].贫困脆弱性的研究评述[J]. 商 2015(07)
    • [12].重大疫情下城市脆弱性及规划应对研究框架[J]. 城市规划 2020(09)
    • [13].网络空间政治安全治理中的国际合作:缘由、脆弱性及中国理念[J]. 教学与研究 2020(09)
    • [14].社会资本、收入多样化与农户贫困脆弱性[J]. 中国人口·资源与环境 2019(02)
    • [15].贫困脆弱性理论与政策研究新进展[J]. 经济学动态 2017(06)
    • [16].金融虚拟性对银行脆弱性的影响研究[J]. 商场现代化 2015(Z2)
    • [17].家庭经济脆弱性:理论、实证与应对[J]. 学习与探索 2016(05)
    • [18].遗产、价值与脆弱性[J]. 遗产 2019(01)
    • [19].城市脆弱性的内涵及评价体系[J]. 河北联合大学学报(社会科学版) 2014(03)
    • [20].自然灾害社会脆弱性研究进展[J]. 灾害学 2014(03)
    • [21].城市脆弱性研究评述与展望[J]. 地理科学进展 2013(05)
    • [22].由银行危机联想到银行脆弱性[J]. 商 2013(05)
    • [23].脆弱性主体——锚定人类境遇的平等[J]. 比较法研究 2013(04)
    • [24].基于经典内生理论的银行脆弱性测度[J]. 环境与可持续发展 2013(05)
    • [25].中国银行体系脆弱性的测度与实证研究[J]. 财经理论与实践 2008(01)
    • [26].极端天气背景下辽宁省城市脆弱性时空演变研究[J]. 国土与自然资源研究 2020(01)
    • [27].澳大利亚与印度尼西亚不对称安全关系中的“敏感性”和“脆弱性”[J]. 洛阳师范学院学报 2020(07)
    • [28].脆弱性理论与国家治理责任新解[J]. 学术月刊 2017(03)
    • [29].城市灾害社会脆弱性研究热点问题评述与展望[J]. 地理科学 2017(08)
    • [30].“脆弱性相互依赖”析论[J]. 太平洋学报 2016(02)

    标签:;  ;  ;  ;  ;  

    Web输入验证脆弱性检测方法研究与改进
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5