网络专业毕业论文.doc

I毕业设计（论文）题目名称：基于模糊测试的漏洞发现跨站脚本模糊测试院系名称：计算机学院班级：网络072班基于模糊测试的漏洞发现跨站脚本模糊测试VulnerabilityDiscoverybasedonfuzztestingXSSfuzztesting中文摘要跨站脚本漏洞是Web应用程序中最常见的一种漏洞，广泛存在于Web应用程序和服务器中，很多计算机病毒、蠕虫等都是利用了跨站脚本，其危害性甚大。怎样发掘Web应用程序中跨站脚本漏洞，成了Web应用程序开发人员关注的重要问题。本文以Web应用程序跨站脚本为研究对象，研究Web应用程序跨站脚本漏洞模糊测试技术。论文包括以下研究工作。首先，分析跨站脚本漏洞成因，重点研究了HTML，JavaScript。触发跨站脚本的原因分为以下两种：通过闭合标签触发跨站脚本，通过标签属性传递值触发跨站脚本。跨站脚本分为两种类型：反射型跨站脚本和持久型跨站脚本。然后，使用源代码分析方法发掘跨站脚本。在分析跨站脚本成因时，提出了利用源代码挖掘跨站脚本的方法。用这种方法挖掘跨站脚本是最基础的一种挖掘方法，用分析源代码的方法寻找到若干跨站脚本漏洞。再者，重点分析了模糊测试原理，提出了模糊测试功能需求分析和框架设计，研究了实现模糊测试技术的核心算法。研究了模糊测试技术挖掘跨站脚本漏洞的方法技巧，总结了关键步骤，使用模糊器挖掘若干未知漏洞。最后应用模糊测试技术，发掘未知跨站脚本漏洞，并做收集记录添加在附录C中。本文研究意义为：能迅速挖掘跨站脚本漏洞，能有效测试Web应用程序中的跨站脚本。这为继续研究模糊测试Web应用程序提供了基础，为构建Web应用程序模糊测试系统探索了思路。III关键词：Web应用程序；跨站脚本；模糊测试技术；模糊器；WebFuzzAbstractCross-sitescriptingvulnerabilityisthemostcommonwebapplicationsandserversvulnerability,whichwidelyexistsintheinternet.Manycomputervirusesandwormsarebasedoncross-sitescripts.Andthecross-sitescriptsharmisveryserious.Sohowtoexplorecross-sitescriptingvulnerabilitieshasbeenthewebapplicationdevelopersimportantconcern.ThemainworkwhatIhavedoneinthispaperisthefollowingresearch:First,whatIhavedoneisanalyzingthecausesofcross-sitescriptingvulnerability.Forthis,ImainlyfocusontheHTML,JavaScriptknowledge.Andasaresult,Idividethereasonsintothefollowingtwosituations:triggeredbyclosingtags,ortriggeredbypassingtagspropertyvalue.AndalsoIfindthatcross-sitescriptingvulnerabilitycanbedividedintotwotypes:ReflectedXSSandStoredXSS.Second,whatIhavedoneisusingthesourcecodeanalysismethodtoexplorecross-sitescriptingvulnerabilities.WhenIanalyzethecausesofcross-sitescriptingvulnerability,Iproposehowtousesourcecodemethodtoexplorecross-sitescripting.ItisthemostbasicmethodtoexploreXSSbythisway.Ihavefoundanumberofcross-sitescriptingvulnerabilitieswithanalyzingthesourcecodemethod.Third,whatIhavedoneisstudyingwebfuzztestingtechnique.Iintroducedthefuzztestingtechnology,whichisthefocusofthispaper.Ialsoanalyzedthetheoryofthefuzztesting,thenIsuggestedtherequirementanalysisandtheframeworkofdesigning.Istudiedthecorealgorithmsagain.AtlastIsummarizedthestepofexploringcross-sitescriptingwithfuzztestingtechnology.Fourth,Iusethefuzztestingtechnologytoexploretheunknowncross-sitescripting,anddocollectintheappendixC.AttheendofthispaperIhavefoundsomeunknownXSSwiththefuzzer.Thesignificanceofthisresearchisthatwecanexplorecross-sitescriptingandtestwebapplicationfastandefficiently.Itprovidesafoundationforbuildingwebapplications,forconstantlyresearchingfuzztestingtechnology.Keywords:webapplication；cross-sitescriptingvulnerability；Fuzzingtestingtechnology；Fuzzer；WebFuzzV目录中文摘要.IIAbstract.IV目录.V第1章前言.11.1研究背景.11.2研究内容.21.2.1Web应用程序漏洞.21.2.2模糊测试技术.31.2.3研究现状、存在问题及应用领域.31.3研究任务.41.4论文结构.5第2章跨站脚本分析.62.1跨站脚本概述.62.2跨站脚本成因.62.2.1超文本标记语言.62.2.2JavaScript.82.2.3跨站脚本产生的原因.92.3跨站脚本的分类.122.3.1Non-persistent（非持久型）.122.3.2Persistent（持久型）.122.4跨站攻击与跨站脚本的危害.132.4.1跨站攻击.132.4.2跨站脚本的利用模式.132.5本章小结.14第3章Web模糊测试技术.153.1HTTP状态码和信息头.153.2模糊测试原理.153.3模糊器功能需求分析.163.3.1请求.173.3.2模糊变量.183.3.3响应.183.4模糊器框架设计.183.5模糊器设计核心函数.193.5.1生成请求.193.5.2sendRequest类.203.5.3接收响应.213.6本章总结.22第4章跨站脚本漏洞挖掘.234.1源代码分析方法挖掘XSS.234.1.1正常状态记录.234.1.2返回信息源代码分析.244.2模糊测试方法挖掘XSS.254.2.1正常状态记录.264.2.2使用Fiddler工具.264.2.3Ping目标主机IP地址.284.2.4在模糊器中输入信息.294.2.5开始测试.314.2.6验证准确性.324.3两种测试方法的比较.334.4本章总结.33第5章结论.345.1模糊测试技术总结.345.2模糊测试发展前景.35参考文献.36致谢.37附录.38附录A图目录.38附录B主要源程序.39附录C跨站脚本记录.501第1章前言随着计算机通信技术的飞速发展，Web应用程序得到了越来越多的应用。Web应用程序的安全性成为了一个复杂性的课题。怎么进行Web应用程序安全测试，怎么进行Web应用程序漏洞挖掘，已经成为Web应用程序开发者和Web应用程序安全维护者关心的重要议题。本篇论文将用最新的Web应用程序漏洞发掘技术模糊测试技术，对Web应用程序中跨站脚本漏洞进行挖掘。1.1研究背景2010年8月中国互联网络中心CNNIC发布中国互联网发展现状报告。报告显示，中国网民规模持续增长，互联网应用深度不断提升，商务类应用成为新的增长点。其中网上支付、网络购物、网上银行增长最为强劲。企业借助互联网进行商务活动的价值日益凸显，企业利用互联网的积极性不断提高，企业在互联网上的投入也不断提高，包括建站、交易平台入驻、网络营销等。由此可见，网络已经成为发布信息，获得信息，资源下载，网络应用，电子消费，电子政务等等的重要平台，而建立在庞大、集成的网络基础上的多平台、网络化、充分集成的Web应用程序已成为上述业务最流行的处理模式。但与此同时，承载着重要而丰富功能与用途的Web应用和服务器也成为恶意用户与黑客等攻击者的主要目标。因此，如何确保Web应用程序的安全已成为企业，政府，特别是金融系统、电子政务和电子购物系统所面临的主要挑战。为了防止政府系统、企业用户、广大个人用户成为Web应用程序安全性问题的受害者，应该关注Web应用程序和服务器的安全性问题。作为普通用户不应该利用Web应用程序和服务器的安全性问题危害公众利益，作为技术人员应该维护Web应用程序和服务器的安全性，作为开发