学位论文 > 优秀研究生学位论文题录展示
基于正则表达式的Java Web程序漏洞检测技术研究
作 者: 叶楚天
导 师: 卢炎生
学 校: 华中科技大学
专 业: 计算机技术
关键词: 注入攻击 跨站脚本攻击 正则表达式 程序脆弱性
分类号: TP393.08
类 型: 硕士论文
年 份: 2013年
下 载: 12次
引 用: 0次
阅 读: 论文下载
内容摘要
很多Web应用程序由于缺乏对用户输入的有效性验证而受到来自于SQL注入和XSS攻击等网络攻击模式的安全威胁。攻击者通过伪造精心构造后的恶意SQL语句而后提交给后台数据库服务器执行从而达到攻击目的,或者在Web页面的HTML标签中嵌入恶意脚本欺骗客户端浏览器执行达到盗取用户信息等。SQL注入和XSS攻击都有其各自的形式,两者相同点就是缺乏对用户输入的验证以及过滤机制。正则表达式以其简洁的形式及强大的功能在Web程序脆弱性检测中得到了广泛的应用。本文主要研究如何通过用自动机形式的正则表达式与字符串在指定程序点的取值集合进行交集匹配来推断程序点是否存在SQL注入和XSS攻击脆弱性。为了检测程序是否存在脆弱性,需要精心构造良好的正则表达式来保证效率的同时涵盖尽可能多的攻击手段,同时需要构造模拟字符串操作的自动机操作库来得到字符串在程序流中的取值集合。在对源程序进行静态分析的基础上得到整个源程序的依赖信息,同时通过匹配敏感API收集程序潜在脆弱点。在以上基础上再对程序的潜在脆弱点进行脆弱点依赖分析,为该潜在脆弱点构造与其相对应的依赖图从而得到字符串在不同程序点的取值集合,继而判定出源程序在哪些程序点存在SQL注入和XSS攻击脆弱性。最后系统用对攻击字符串中的敏感字符进行过滤并给出处理建议,有效的保证了程序的安全性。实验结果表明在精心构造的基于正则表达式的攻击模式库、自动机操作库和程序静态分析的基础上程序可以精确检测到大部分的SQL注入和XSS攻击并做出有效的处理。
|
全文目录
摘要 4-5 Abstract 5-8 1 绪论 8-13 1.1 研究背景及意义 8 1.2 国内外研究现状 8-11 1.3 主要内容及组织结构 11-13 2 攻击模式 13-19 2.1 SQL 注入攻击 14-17 2.2 XSS 攻击 17-18 2.3 本章小结 18-19 3 正则表达式 19-28 3.1 正则表达式及其引擎 19-22 3.2 自动机操作函数 22-23 3.3 检测 SQL 注入的正则表达式 23-25 3.4 检测 XSS 的正则表达式 25-27 3.5 本章小结 27-28 4 系统设计与实现 28-42 4.1 系统设计 28-29 4.2 实现环境 29-30 4.3 系统子模块设计与实现 30-41 4.4 本章小结 41-42 5 系统实验 42-54 5.1 实验目标 42 5.2 实验流程 42 5.3 实验环境 42 5.4 系统有效性实验 42-52 5.5 系统效率报告 52-53 5.6 本章小结 53-54 6 总结与展望 54-56 6.1 论文工作总结 54-55 6.2 后期工作展望 55-56 致谢 56-57 参考文献 57-61 附录 攻读学位期间参与的科研项目 61
|
相似论文
- Web数据抽取技术及应用,TP311.13
- 基于CUDA的正则表达式匹配系统的设计与实现,TP311.52
- 双层防御SQL注入攻击的方法,TP393.08
- Visual Basic程序设计题自动评分算法的研究及实践,TP311.11
- 基于CPU+GPU异构平台的字符串匹配算法研究与实现,TP301.6
- 针对Oracle数据库的攻防技术研究,TP311.13
- 基于购物搜索引擎的网页解析模块的设计与实现,TP393.092
- 基于特征匹配的深度报文检测性能优化研究,TP393.08
- 基于JAVA EE的双主体教学支撑平台研究与实现,TP311.52
- 基于PTK嵌入系统的集成测试工具研究与实现,TP311.52
- 基于有限状态机的Web服务测试用例生成方法,TP393.09
- 中文时间表达式识别研究,TP391.43
- Fuzzing工具的设计与实现,TP311.52
- 基于SOPC的入侵检测系统的设计与实现,TP393.08
- SQL注入与XSS攻击防范方法的研究以及防范模型的设计与实现,TP393.08
- 安全推荐系统中基于信任的检测模型研究,TP393.09
- 跨站脚本攻击与防御技术研究,TP393.08
- P2P应用流量的识别与控制研究,TP393.02
- 利用TRS构造全文检索信息系统的设计与实现,TP311.52
- 基于仿真实训环境的网络安全检测系统研究,TP393.08
- 基于Web和信息抽取技术的自动术语翻译,TP391.2
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|