版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、基于web的應(yīng)用軟件在互聯(lián)網(wǎng)業(yè)務(wù)各領(lǐng)域中日益廣泛和重要,而各種安全漏洞卻給當(dāng)前迅速發(fā)展的web應(yīng)用帶了極大的安全威脅。所以通過安全漏洞測試來確定web應(yīng)用是否存在安全漏洞,是保障web應(yīng)用安全性的必要措施。因此為了應(yīng)對安全漏洞給web應(yīng)用所造成的嚴(yán)重安全威脅,對web應(yīng)用的安全漏洞測試進(jìn)行研究具有極大的緊迫性和現(xiàn)實意義。
滲透測試是一種以模擬攻擊、反應(yīng)分析的方式確定軟件安全漏洞存在性的方法,在測試web應(yīng)用安全漏洞方面具有
2、諸多優(yōu)點(diǎn),因此對其研究日益受到關(guān)注。但目前對web應(yīng)用SQL注入滲透測試的相關(guān)研究中,尚未給出適當(dāng)理論方法來指導(dǎo)生成多種類、多形態(tài)的SQL注入滲透測試用例(攻擊輸入)以準(zhǔn)確測試web應(yīng)用防御機(jī)制充分性、發(fā)現(xiàn)更全面的SQL注入安全漏洞的問題。這使得對web應(yīng)用SQL注入滲透測試盲目性較強(qiáng)、易造成漏報而降低測試準(zhǔn)確度。
本文致力于研究如何從優(yōu)化SQL注入安全漏洞滲透測試用例的角度,提高滲透測試準(zhǔn)確度的問題。為此提出了模型驅(qū)動的
3、SQL注入滲透測試方法。所提方法的核心思想是通過建立新的SQL注入攻擊模型,指導(dǎo)建立SQL注入用例形式化模型并提出對用例模型的實例化方法,最終生成全面反映SQL注入攻擊手段和攻擊輸入樣式的優(yōu)化SQL注入滲透測試用例,以觸發(fā)更充分的SQL注入安全漏洞,避免漏報等問題,提高對web應(yīng)用SQL注入安全漏洞滲透測試準(zhǔn)確度。
圍繞著上述的研究問題和研究思路,本文所進(jìn)行的主要工作和創(chuàng)新點(diǎn)包括:
1)提出了新的基于安全目的
4、模型的SQL注入攻擊模型以及攻擊模型驅(qū)動的SQL注入滲透測試框架。本研究基于安全目的模型建模方法建立全新的SQL注入攻擊模型。相比目前相關(guān)研究中提出的SQL注入攻擊模型,本研究所建立新的SQL注入攻擊模型可更全面表述SQL注入攻擊輸入、安全漏洞特征和攻擊位置等方面的規(guī)律。同時提出攻擊模型驅(qū)動的SQL注入滲透測試框架,框架中基于本研究所建立的SQL注入攻擊模型來指導(dǎo)優(yōu)化的SQL注入用例生成。此方面的研究是對目前SQL注入攻擊建模進(jìn)行優(yōu)化并
5、以其指導(dǎo)SQL注入用例生成的創(chuàng)新性工作。
2)針對所提出滲透測試框架中用例形式化表達(dá)問題,提出了對SQL注入安全漏洞滲透測試用例的形式化建模方法。在所提出的SQL注入攻擊模型指導(dǎo)下,對SQL注入滲透測試用例建模,主要包括兩方面工作:以形式化符號表述SQL注入攻擊輸入規(guī)律;以形式化語言描述web應(yīng)用SQL注入安全漏洞的行為特征。建立了以形式化方法描述SQL注入攻擊和安全漏洞判定規(guī)則的方案,實現(xiàn)對SQL注入滲透測試用例輸入與預(yù)
6、期輸出的模型化描述,克服當(dāng)前相關(guān)研究中對用例無規(guī)律、無限性隨機(jī)枚舉描述方式的不足。此方面的研究是將SQL注入用例描述由無序枚舉轉(zhuǎn)變?yōu)橛幸?guī)律模型化描述的創(chuàng)新性工作。
3)針對所提出測試框架中基于模型生成實際用例的問題,提出了對所建立的SQL注入滲透測試用例模型的實例化方法。本研究提出了一系列新的SQL注入滲透測試用例覆蓋準(zhǔn)則,作為用例模型實例化的指導(dǎo)和滲透測試用例充分性衡量準(zhǔn)則。通過所提出的模型實例化方法和覆蓋度準(zhǔn)則,將本研
7、究中所建立的測試用例模型轉(zhuǎn)化為可執(zhí)行的優(yōu)化的測試用例,以提高目前SQL注入滲透測試準(zhǔn)確度,并解決目前相關(guān)研究中研究不足:對SQL注入滲透測試用例的選擇及用例充分性的問題。此方面的研究是建立SQL注入用例模型實例化方法和用例輸入充分性評價準(zhǔn)則的創(chuàng)新性工作。
4)針對所生成SQL注入用例集合測試效果評價問題,提出了基于多級防御web應(yīng)用的SQL注入滲透測試用例測試效果驗證方法。通過在web應(yīng)用前端輸入頁面與后臺數(shù)據(jù)庫交互通道中
8、設(shè)立不同防御強(qiáng)度的SQL注入攻擊防御措施,實現(xiàn)在web應(yīng)用中預(yù)設(shè)探測難度不同的SQL注入安全漏洞,以此作為SQL注入用例測試效果的驗證平臺。只有充分有規(guī)律的SQL注入滲透測試用例才能全面地測試出預(yù)設(shè)的SQL注入安全漏洞,獲得較好的測試效果。在所提出的測試效果驗證web應(yīng)用平臺上,對本研究所提出的用例與隨機(jī)枚舉測試用例和其他SQL注入模型生成的用例進(jìn)行了實測效果的對比分析。本方法生成的用例降低了SQL注入滲透測試的漏報,表明了本方法生成優(yōu)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 模型驅(qū)動的web應(yīng)用sql注入安全漏洞滲透測試研究(1)
- Web應(yīng)用SQL注入漏洞測試系統(tǒng)的研究與實現(xiàn).pdf
- 基于Web的應(yīng)用軟件安全漏洞測試方法研究.pdf
- Web應(yīng)用安全漏洞掃描技術(shù)研究.pdf
- Web應(yīng)用中安全漏洞檢測技術(shù)的研究.pdf
- 基于chopping技術(shù)的Web應(yīng)用SQL注入漏洞檢測研究.pdf
- 基于滲透測試的SQL注入漏洞檢測及防范技術(shù)研究.pdf
- Web應(yīng)用安全漏洞測試工具Punks的設(shè)計與實現(xiàn).pdf
- 基于灰盒測試的Web應(yīng)用程序安全漏洞檢測.pdf
- 基于手工SQL注入的Web滲透測試技術(shù)研究.pdf
- web應(yīng)用程序安全漏洞挖掘的研究
- Web應(yīng)用二階SQL注入漏洞檢測方法研究.pdf
- WEB應(yīng)用安全漏洞挖掘的研究與實現(xiàn).pdf
- Web應(yīng)用程序安全漏洞挖掘的研究.pdf
- SQL注入漏洞檢測研究.pdf
- sql注入漏洞wasc
- Web應(yīng)用安全漏洞掃描工具的設(shè)計與實現(xiàn).pdf
- PHP網(wǎng)站W(wǎng)eb安全漏洞攻擊防范研究.pdf
- web頁面安全漏洞免疫與預(yù)防策略研究
- 基于Grails的Web安全漏洞檢測系統(tǒng)的研究與應(yīng)用.pdf
評論
0/150
提交評論