Web應(yīng)用的漏洞檢測與防范技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，基于Web的應(yīng)用日益增多，例如：網(wǎng)上商城、網(wǎng)上銀行等，Web應(yīng)用具有成本低、使用方便等優(yōu)點(diǎn)。當(dāng)前，企業(yè)、政府、學(xué)校的很多辦公系統(tǒng)都建立在 Web應(yīng)用程序之上，這些系統(tǒng)中往往存儲著重要的數(shù)據(jù)，如個(gè)人信息、單位保密信息等，因此，系統(tǒng)的安全性是非常重要的。由于Web應(yīng)用的開放性，使得它更加容易受到黑客的攻擊，它很難受到傳統(tǒng)防火墻的保護(hù)。網(wǎng)絡(luò)安全問題日益突出，越來越多的站點(diǎn)受到攻擊，其根本原因是 Web應(yīng)用程序中存在著

2、漏洞，Web漏洞有很多種，危害對象可以是服務(wù)器端也可以是客戶端，本文主要對跨站腳本請求（XSS）漏洞和跨站請求偽造（CSRF）漏洞進(jìn)行研究，這兩種漏洞都是基于客戶端的漏洞，影響范圍廣，受害者難以察覺。
　　本文首先概述了XSS和CSRF漏洞的相關(guān)知識，包括WEB應(yīng)用的相關(guān)技術(shù)，詳細(xì)分析了XSS和CSRF漏洞的原理、分類、危害以及攻擊技巧。在以上的基礎(chǔ)上，重點(diǎn)研究了XSS和CSRF漏洞的檢測方法和防御方法。在XSS漏洞方面，分析了X

3、SS漏洞的檢測方法的原理，包括靜態(tài)檢測方法和動態(tài)檢測方法，結(jié)合現(xiàn)有的檢測方法分析了它們的優(yōu)缺點(diǎn)，針對現(xiàn)有檢測方法的不足，提出了一種改進(jìn)的XSS漏洞檢測方法。該方法的原理是模擬攻擊者對目標(biāo)站點(diǎn)發(fā)起攻擊的過程：先用合法向量測試，排除肯定不存在 Reflected XSS漏洞的頁面，并收集輸入點(diǎn)、輸出點(diǎn)頁面和輸出點(diǎn)類型等信息，再用攻擊向量進(jìn)一步測試，通過實(shí)驗(yàn)證明了該方法的有效性，不僅提高了XSS漏洞的檢測效率，還可以檢測Stored XSS漏