基于网络爬虫的SQL注入与XSS漏洞挖掘资料下载.pdf
《基于网络爬虫的SQL注入与XSS漏洞挖掘资料下载.pdf》由会员分享,可在线阅读,更多相关《基于网络爬虫的SQL注入与XSS漏洞挖掘资料下载.pdf(57页珍藏版)》请在冰豆网上搜索。
张玉清20090101摘要摘要信息社会的到来,给全球带来了信息技术飞速发展的契机。
信息技术的应用,引起了人们生产方式,生活方式和思想观念的巨大变化,极大地推动了人类社会的发展和文明的进步,把人类带入了一个崭新的时代。
随着计算机及网络通信技术的迅速发展,如今的互联网已经成为触及全球任何角落的开放网络,给人们带来了实时、方便、快捷及低成本的服务。
与此同时,网络安全问题也日益突出。
如何挖掘网络应用软件的安全漏洞,是当前漏洞挖掘技术的研究热点。
本文以Web应用程序中的SQL注入及XSS漏洞为研究对象,主要工作有以下几方面:
1)总结分析了静态分析技术、Fuzzing技术及动态调试技术这三种漏洞挖掘技术,并针对静态分析技术进行了重点分析总结。
2)详细剖析了SQL注入及XSS漏洞,主要包括其产生原因、危害、避免方式、检测方法等。
3)针对SQL注入及XSS漏洞的特性,改进了网络爬虫技术,并利用该技术收集Web应用程序中可能存在SQL注入及XSS漏洞的可疑点的信息。
4)在漏洞检测过程中,使用Fuzzing漏洞挖掘技术,并结合SQL注入及XSS漏洞的检测技术,对可疑点进行注入测试。
5)实现了一个针对Web应用程序中的SQL注入及XSS漏洞的自动挖掘工具(SQLXSS)。
关键词:
漏洞网络爬虫SQL注入XSSAbstractAbstractThearrivaloftheInformationSocietyhasbroughttheworldtOtherapiddevelopmentofinformationtechnologyopportunitiesTheapplicationofinformationtechnology,raisingproduction,lifestylesandideaschangedgreatlypromotedThedevelopmentofhumansocietyandcivilizationbringhumanintoaneweraWitllthecomputerandnetworkcommunicationtechnologyisdevelopingrapidly,nowtheInteracthasbecomeaglobalreachanycomeroftheopennetwork,bringsrealtime,conveniem,fastandlowcostservicesAtthesametime,networksecurityproblemhasbecomeacuteHowtotapthenetworkapplicationsoftwaresecurityvulnerabilitiesareloopholesinthecurrentminingtechnologyhotspotsBasedonWebapplicationsinSQLinjectionandXSSvulnerabilitystudies,themainworksofthispaperareasfollow:
1)Thispaperanalyzedthreevulnerabilityexploitingtechnology,suchassmileanalysistechniques,Fuzzingtechnologyanddynamictechnology,andsummedupandanalysisthestaticanalysisasmajor2)IthasbeendetailedanalysisofSQLinjectionandXSSvulnerable,includingtheircause,harm,thewaytoavoiddetectionmethods,etc3)UsingSQLinjectionandXSSvulnerabilitycharacteristics,improvedcrawlertechnology,andtheusethistechnologytocollectionWebapplicationspossibleSQLinjectionandXSSvulnerabilityofsuspiciouspoints4)UsingFuzzingtechnology,andcombined、)I,itllSQLinjectionandXSSvulnerabilitySdetectiontechnologytestedthesuspiciouspointsinthevulnerabilityStesting5)Realizingatool(SQL_XSS)minedtheSQLinjectionandXSSvulnerabilityintheWebapplicationautomaticKeywords:
VulnerabilityCrawlerSQLInjectionXSS创新性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。
尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果;
也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。
与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。
申请学位论文与资料若有不实之处,本人承担一切相关责任。
本人签名:
加务嘉关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:
研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。
本人保证毕业离校后,发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。
学校有权保留送交论文的复印件,允许查阅和借阅论文;
学校可以公布论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存论文。
(保密的论文在解密后遵守此规定)本人签名:
导师签名:
第一章引言第一章引言随着Interact技术的发展,Web应用程序得到了日益广泛的应用;
与此同时,Web应用程序地位的提升也直接导致了其漏洞可能带来更为危险的安全隐患。
11W曲漏洞挖掘的发展现状Web应用程序(WebApplications)是指用户界面驻留在Web浏览器中的任何应用程序。
它基于Web运行,是典型的浏览器服务器架构的产物。
根据美国国家漏洞数据库(NationalVulnerabilityDatabase1J)的统计,在2005和2006年上报的漏洞中,Web应用程序漏洞占总数的比例分别为3767和5505,在2007年上报的漏洞中,Web应用程序漏洞的比例为4078。
根据OWASPl2J(注:
OWASP是世界上最知名的Web安全与数据库安全研究组织)的统计,基于Web应用程序的十大安全漏洞中,XSS(跨站脚本,Crosssitescripting)和InjectionFlaws(SQLinjection为其中最主要的一种)这两大类型的漏洞高居榜首,分别为25和18左右(具体数值如图11中所示)。
再根据我国CNCERTCCi列(国家计算机网络应急技术处理协调中心)在CNCEI刑CC2007年网络安全工作报告一文中所统计的数据(如图12所示)来看,网络仿冒事件(30)、网页恶意代码事件(25)及漏洞事件(8),可知我国的Web安全也不容乐观。
30002SOO20OOlSOO10OOSOOO00llL。
一LL一一。
J茎萋茎霎董重要茎萎耋蓁重詈重茎霎重萋耋萋薹图112007OWASPTop10的MITRE数据由此看来,如何保障Web应用程序的安全性,不可避免的成为了燃眉之急。
漏洞挖掘技术,是站在一个攻击者的角度去审核代码安全的一种技术手段。
减少2蕈丁网络爬虫的SQLfl入与XSS黼嗣挖矗f攻击者眼r_的Web应用程膨的安个漏i|14,就相1:
加强了Web应用程序的安全性。
这是可以从根本卜解决Web应jj程序安全隐患的种有效手段。
漏目m挖掘投术一直是刚络攻h肯最感兴趣的问题,漏洞挖掘的范俐也在随着技术的提州而有所变化。
在前期针对缓冲区溢出,格式化字符串,堆溢fH,1ib库溢出等技术都足针对ELF文件(LinuxlJr执行文件)或者PB文件(Win可执行文件)的漏洞挖掘技术;
在针对E
升级会员 