学位论文 > 优秀研究生学位论文题录展示

基于正则表达式的Java Web程序漏洞检测技术研究

作　者: 叶楚天
导　师: 卢炎生
学　校: 华中科技大学
专　业: 计算机技术
关键词: 注入攻击跨站脚本攻击正则表达式程序脆弱性
分类号: TP393.08
类　型: 硕士论文
年　份: 2013年
下　载: 12次
引　用: 0次
阅　读: 论文下载

内容摘要

很多Web应用程序由于缺乏对用户输入的有效性验证而受到来自于SQL注入和XSS攻击等网络攻击模式的安全威胁。攻击者通过伪造精心构造后的恶意SQL语句而后提交给后台数据库服务器执行从而达到攻击目的，或者在Web页面的HTML标签中嵌入恶意脚本欺骗客户端浏览器执行达到盗取用户信息等。SQL注入和XSS攻击都有其各自的形式，两者相同点就是缺乏对用户输入的验证以及过滤机制。正则表达式以其简洁的形式及强大的功能在Web程序脆弱性检测中得到了广泛的应用。本文主要研究如何通过用自动机形式的正则表达式与字符串在指定程序点的取值集合进行交集匹配来推断程序点是否存在SQL注入和XSS攻击脆弱性。为了检测程序是否存在脆弱性，需要精心构造良好的正则表达式来保证效率的同时涵盖尽可能多的攻击手段，同时需要构造模拟字符串操作的自动机操作库来得到字符串在程序流中的取值集合。在对源程序进行静态分析的基础上得到整个源程序的依赖信息，同时通过匹配敏感API收集程序潜在脆弱点。在以上基础上再对程序的潜在脆弱点进行脆弱点依赖分析，为该潜在脆弱点构造与其相对应的依赖图从而得到字符串在不同程序点的取值集合，继而判定出源程序在哪些程序点存在SQL注入和XSS攻击脆弱性。最后系统用对攻击字符串中的敏感字符进行过滤并给出处理建议，有效的保证了程序的安全性。实验结果表明在精心构造的基于正则表达式的攻击模式库、自动机操作库和程序静态分析的基础上程序可以精确检测到大部分的SQL注入和XSS攻击并做出有效的处理。

全文目录

摘要  4-5
Abstract  5-8
1 绪论  8-13
  1.1 研究背景及意义  8
  1.2 国内外研究现状  8-11
  1.3 主要内容及组织结构  11-13
2 攻击模式  13-19
  2.1 SQL 注入攻击  14-17
  2.2 XSS 攻击  17-18
  2.3 本章小结  18-19
3 正则表达式  19-28
  3.1 正则表达式及其引擎  19-22
  3.2 自动机操作函数  22-23
  3.3 检测 SQL 注入的正则表达式  23-25
  3.4 检测 XSS 的正则表达式  25-27
  3.5 本章小结  27-28
4 系统设计与实现  28-42
  4.1 系统设计  28-29
  4.2 实现环境  29-30
  4.3 系统子模块设计与实现  30-41
  4.4 本章小结  41-42
5 系统实验  42-54
  5.1 实验目标  42
  5.2 实验流程  42
  5.3 实验环境  42
  5.4 系统有效性实验  42-52
  5.5 系统效率报告  52-53
  5.6 本章小结  53-54
6 总结与展望  54-56
  6.1 论文工作总结  54-55
  6.2 后期工作展望  55-56
致谢  56-57
参考文献  57-61
附录攻读学位期间参与的科研项目  61

基于正则表达式的Java Web程序漏洞检测技术研究

内容摘要

全文目录

相似论文