学位论文 > 优秀研究生学位论文题录展示

灰盒代码审计在Web安全检测中的应用研究与实现

作 者: 陈昊
导 师: 罗群
学 校: 北京邮电大学
专 业: 密码学
关键词: Web安全 代码审计 灰盒 Findbugs 重定位 渗透测试 结果整合
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 50次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着计算机和互联网的飞速发展,各个行业对计算机的依赖逐渐加大。与此同时,带来的计算机安全问题越来越引起人们的重视,Web安全事故的颁发,更体现的Web安全检测重要性。随着J2EE在Web系统开发中的快速应用,针对此类Web系统的安全检测需求越来越大。传统的Web安全检测技术已经满足不了需求的变化。为了提高Web安全检测的全面性和准确性,将代码审计也应用到Web安全检测中,使得Web安全检测更加的全面准确。本课题正是基于这样一个背景,通过对Web系统中的Java字节码进行分析,利用Findbugs提出了一种全新的灰盒代码审计方案来检测Web安全,给Web的安全检测增加了新的方案,提高了检测结果的全面性。本文首先说明了课题的研究背景,介绍了Web安全和代码审计相关的技术基础知识,如Findbugs、自定义规则的编写等,同时对目前常用代码审计软件进行了对比分析。然后对灰盒代码审计工具进行一系列的功能性扩展,并且重点分析了审计前文件处理、审计结果的污染扩散和审计后的结果重定位这些扩展功能,实现了利用灰盒代码审计对Web工程进行安全检测。最后提出了一种新的Web安全检测方法,分别利用灰盒代码审计和渗透测试对同一个Web工程进行安全检测,对两款工具的检测结果进行对比分析,查找两个结果的关联性,根据关联性对这连个结果进行整合,从而实现全面准确的Web安全检测。

全文目录


摘要  4-5
ABSTRACT  5-9
第一章 绪论  9-16
  1.1 研究背景及意义  9-11
    1.1.1 信息安全现状  9-10
    1.1.2 静态代码分析现状  10-11
  1.2 Web安全研究现状  11-13
  1.3 代码审计工具国内外现状及分析  13-15
  1.4 本文主要工作  15-16
第二章 灰盒代码审计分析  16-27
  2.1 代码审计原理简介  16-19
    2.1.1 代码审计技术  16-17
    2.1.2 代码审计分析流程  17-19
  2.2 灰盒代码审计  19-22
    2.2.1 Findbugs简介  19
    2.2.2 FindBugs常用检测器  19-22
  2.3 自定义审计规则  22-26
    2.3.1 Findbugs自定义规则的编写  22-23
    2.3.2 Findbugs自定义规则的添加  23-26
  2.4 本章小结  26-27
第三章 灰盒代码审计扩展  27-43
  3.1 审计前文件处理  27-32
    3.1.1 Jsp文件处理  28-31
    3.1.2 Jar文件处理  31-32
  3.2 审计结果污染扩散  32-37
    3.2.1 动态污染传播方法  32-33
    3.2.2 污染扩散的应用  33-37
  3.3 审计结果代码定位  37-42
    3.3.1 文件反编译  37-39
    3.3.2 结果代码重定位  39-42
  3.4 本章小结  42-43
第四章 在Web安全检测中的应用实现  43-55
  4.1 灰盒代码审计  43-47
    4.1.1 审计工具简介  43-44
    4.1.2 审计结果分析  44-47
  4.2 渗透测试  47-50
    4.2.1 测试工具简介  47-48
    4.2.2 测试结果分析  48-50
  4.3 检测结果整合  50-54
    4.3.1 检测项目分析  50-52
    4.3.2 检测结果整合  52-54
  4.4 本章小结  54-55
第五章 总结与展望  55-57
  5.1 本文工作总结  55
  5.2 进一步研究及展望  55-57
参考文献  57-59
致谢  59-60
硕士在读期间完成的论文和成果  60

相似论文

  1. 电力企业信息安全策略研究与实现,TP393.08
  2. 浏览器的安全访问及指纹识别技术,TP393.092
  3. 基于初至波的高精度二次定位方法研究及软件开发,P631.4
  4. 网站内容管理系统关键技术研究,TP311.52
  5. 基于AHP算法的WEB安全性测试工具的设计与实现,TP311.52
  6. 虚拟环境中迁移策略研究,TP302
  7. TrojanAntier:一种基于统计分析的Web木马防范系统,TP393.08
  8. 基于攻击路径图的渗透测试技术研究及应用,TP393.08
  9. 基于渗透测试的网络安全评估技术研究,TP393.08
  10. 面向Web安全的漏洞检测系统的研究与实现,TP393.08
  11. 基于搜索算法的Web安全,TP393.08
  12. 基于RFID的学生平安考勤签到系统设计,TP391.44
  13. 基于本体的个性化元搜索引擎研究,TP391.3
  14. 基于双线性对的短签名研究,TN918.1
  15. 苛刻环境下基于FPGA的可重构技术研究,TN791
  16. 基于用户模型的个性化元搜索引擎的研究与设计,TP391.3
  17. Web安全与入侵检测技术的研究,TP393.08
  18. Web安全检测技术研究与方案设计,TP393.08
  19. 无线传感器网络节点的三维定位算法研究,TN929.5
  20. 基于AOP的Web应用安全防护体系的研究与实现,TP393.08
  21. 数据集成技术及其应用研究,TP311.13

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com