模型驱动的web应用SQL注入安全漏洞渗透测试研究

来源 :南开大学 | 被引量 : 27次 | 上传用户:jpy_2008
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
基于web的应用软件在互联网业务各领域中日益广泛和重要,而各种安全漏洞却给当前迅速发展的web应用带了极大的安全威胁。所以通过安全漏洞测试来确定web应用是否存在安全漏洞,是保障web应用安全性的必要措施。因此为了应对安全漏洞给web应用所造成的严重安全威胁,对web应用的安全漏洞测试进行研究具有极大的紧迫性和现实意义。渗透测试是一种以模拟攻击、反应分析的方式确定软件安全漏洞存在性的方法,在测试web应用安全漏洞方面具有诸多优点,因此对其研究日益受到关注。但目前对web应用SQL注入渗透测试的相关研究中,尚未给出适当理论方法来指导生成多种类、多形态的SQL注入渗透测试用例(攻击输入)以准确测试web应用防御机制充分性、发现更全面的SQL注入安全漏洞的问题。这使得对web应用SQL注入渗透测试盲目性较强、易造成漏报而降低测试准确度。本文致力于研究如何从优化SQL注入安全漏洞渗透测试用例的角度,提高渗透测试准确度的问题。为此提出了模型驱动的SQL注入渗透测试方法。所提方法的核心思想是通过建立新的SQL注入攻击模型,指导建立SQL注入用例形式化模型并提出对用例模型的实例化方法,最终生成全面反映SQL注入攻击手段和攻击输入样式的优化SQL注入渗透测试用例,以触发更充分的SQL注入安全漏洞,避免漏报等问题,提高对web应用SQL注入安全漏洞渗透测试准确度。围绕着上述的研究问题和研究思路,本文所进行的主要工作和创新点包括:1)提出了新的基于安全目的模型的SQL注入攻击模型以及攻击模型驱动的SQL注入渗透测试框架。本研究基于安全目的模型建模方法建立全新的SQL注入攻击模型。相比目前相关研究中提出的SQL注入攻击模型,本研究所建立新的SQL注入攻击模型可更全面表述SQL注入攻击输入、安全漏洞特征和攻击位置等方面的规律。同时提出攻击模型驱动的SQL注入渗透测试框架,框架中基于本研究所建立的SQL注入攻击模型来指导优化的SQL注入用例生成。此方面的研究是对目前SQL注入攻击建模进行优化并以其指导SQL注入用例生成的创新性工作。2)针对所提出渗透测试框架中用例形式化表达问题,提出了对SQL注入安全漏洞渗透测试用例的形式化建模方法。在所提出的SQL注入攻击模型指导下,对SQL注入渗透测试用例建模,主要包括两方面工作:以形式化符号表述SQL注入攻击输入规律;以形式化语言描述web应用SQL注入安全漏洞的行为特征。建立了以形式化方法描述SQL注入攻击和安全漏洞判定规则的方案,实现对SQL注入渗透测试用例输入与预期输出的模型化描述,克服当前相关研究中对用例无规律、无限性随机枚举描述方式的不足。此方面的研究是将SQL注入用例描述由无序枚举转变为有规律模型化描述的创新性工作。3)针对所提出测试框架中基于模型生成实际用例的问题,提出了对所建立的SQL注入渗透测试用例模型的实例化方法。本研究提出了一系列新的SQL注入渗透测试用例覆盖准则,作为用例模型实例化的指导和渗透测试用例充分性衡量准则。通过所提出的模型实例化方法和覆盖度准则,将本研究中所建立的测试用例模型转化为可执行的优化的测试用例,以提高目前SQL注入渗透测试准确度,并解决目前相关研究中研究不足:对SQL注入渗透测试用例的选择及用例充分性的问题。此方面的研究是建立SQL注入用例模型实例化方法和用例输入充分性评价准则的创新性工作。4)针对所生成SQL注入用例集合测试效果评价问题,提出了基于多级防御web应用的SQL注入渗透测试用例测试效果验证方法。通过在web应用前端输入页面与后台数据库交互通道中设立不同防御强度的SQL注入攻击防御措施,实现在web应用中预设探测难度不同的SQL注入安全漏洞,以此作为SQL注入用例测试效果的验证平台。只有充分有规律的SQL注入渗透测试用例才能全面地测试出预设的SQL注入安全漏洞,获得较好的测试效果。在所提出的测试效果验证web应用平台上,对本研究所提出的用例与随机枚举测试用例和其他SQL注入模型生成的用例进行了实测效果的对比分析。本方法生成的用例降低了SQL注入渗透测试的漏报,表明了本方法生成优化用例的可行性和有效性。
其他文献
噪声系数是影响相控阵雷达性能的一个很重要的参数,该文对无源相控阵雷达接收系统和有源相控阵雷达接收系统的噪声系数进行了推导,得到其理论公式,并通过实际例子对有源相控
图像显著性检测是一种通过对图像颜色、强度、方向等特征进行分析生成图像显著性图的技术。其生成的显著性图可以用于图像分割、图像压缩以及图像识别等图像处理领域,从而改
有限责任制作为公司人格独立的标志,因为其对公司、公司成员和社会的有益和有效作用已成为现代各国公司法所承认。无限责任制作为公司人格独立的保障和补充,因为其对公司债权人
目的1选取以瘀血阻窍为主要证型的并经MRA证实颅内动脉存在多发性动脉粥样硬化狭窄的中风患者,出院时根据患者用药情况将其分成两组,2年后对所有患者进行随访,探讨银杏叶片治
荷兰是世界美食聚集地。在荷兰,不仅能吃到荷兰特色的食品,而且世界各地的美食在荷兰都能找得到。荷兰人的饮食虽不复杂,但是却有一个特点,就是非常讲究营养,我们来看看他们
期刊
以丙二酸亚异丙酯为原料经缩合,还原合成了5-烃基丙二酸亚异丙酯.5-烃基丙二酸亚异丙酯在相转移催化条件下与过氧化苯甲酰反应,以高产率合成了5-烃基5-苯甲酰氧基丙二酸亚异
目的研究西红花酸对大鼠心肌缺血再灌注损伤的保护作用及可能的机制。方法梗死模型,结扎大鼠左前降支冠状动脉45min,再灌注180min测定心肌梗死率,并于缺血前和再灌注5、60、180m
城市中心爆破具有周边环境复杂,地下管线密集,安全风险系数高的特点,需采取特殊的爆破施工技术控制爆破有害效应。以汉阳人信汇A地块土石方控制爆破工程为背景,采用高效、安
本轮经济金融危机以2007年8月美国次贷危机为开端,2008年9月雷曼公司破产使得银行危机达到顶峰触发全球金融危机。随着各国相继出台宽松政策,政策的负面效应也随之显现,2009
<正> 读王维诗,常为其“诗中有画”的明净秀美所吸引。他的田园山水诗,能把自然景色的美与心境的美融为一体,澄淡空灵,参乎造化,进入天籁自鸣的“无我”之境。但这种纯美诗境
会议