论文总字数：28605字

摘 要

由于Web应用技术的高速发展，Web应用程序在现实世界的应用越发广泛。Web应用程序的普及使得Web应用程序的安全漏洞也互联网最严重的问题之一站在入侵者视角，模拟攻击过程，提早发现安全漏洞，及时修补避免产生损失，是一种保障Web应用程序安全的有效方法。

本文在充分理解模糊测试技术的基础上，结合HTTP协议的基本理论，分析了Web漏洞的产生机理与常见的过滤机制，讨论了Web模糊测试技术。本文主要贡献有：

1. 以SQL注入、XSS为例，分析了它们的漏洞原理；并以这两者为基础，探讨了常见的Web WAF绕过技巧。
2. 对于主被动相结合的模糊测试方法进行分分析，重点分析了通过网络爬虫去主动爬取网站访问接口的方法，并对其中的URL清洗做了分析。
3. 对Web应用程序与模糊测试技术相结合进行了分析研究，对于Web应用程序的模糊测试流程进行讨论，对每一步的关键点作了阐述。
4. 设计并实现了自动化Web漏洞模糊测试工具AWF
5. 测试分析了AWF工具

关键词：Web安全 漏洞挖掘 模糊测试 网络爬虫

Abstract

Due to the rapid development of web application technology, the application of web applications in the real world is more and more extensive. The popularity of Web applications makes Web application security vulnerabilities and one of the most serious problems of the Internet stand in the perspective of intruders, simulate attack processes, detect security vulnerabilities early, and timely repair and avoid losses. It is a guarantee for Web application security. Useful ways.

Based on the full understanding of fuzz testing technology and the basic theory of HTTP protocol, this paper analyzes the mechanism of Web vulnerability generation and common filtering mechanism, and discusses Web fuzz testing technology. The main contributions of this paper are:

1) Using SQL injection and XSS as examples, analyze their vulnerability principles; and based on the two, explore the common Web WAF bypassing skills.

2) For the fuzz test method combined with active and passive, the analysis is carried out, and the method of actively crawling the website access interface through the web crawler is analyzed, and the URL cleaning is analyzed.

3) Analyze and research the combination of Web application and fuzzing technology, discuss the fuzz testing process of Web application, and explain the key points of each step.

4) Design and implement an automated web vulnerability fuzzing tool AWF.

5) Test analysis of AWF tools.

KEY WORDS: Web security,vulnerability mining,fuzz test,web crawler

目 录

摘 要 I

Abstract II

第一章 绪论 1

1.1 研究背景和意义 1

1.1.1 研究背景 1

1.1.2 研究意义 1

1.2 国内外研究现状 3

1.2.1 漏洞挖掘技术 3

1.2.2 模糊测试技术发展与现状 3

1.3 主要工作内容 4

1.4 论文结构 4

1.5 本章小结 5

第二章 相关技术介绍 6

2.1 模糊测试技术 6

2.1.1 模糊测试定义 6

2.1.2 模糊测试流程 6

2.1.3 模糊测试分类 7

2.1.4 模糊测试技术器类型 7

2.2 HTTP协议 8

2.2.1 HTTP协议概述 8

2.2.2 HTTP报文格式 9

2.3 本章小结 10

第三章 Web安全漏洞分析 12

3.1 常见漏洞类型 12

3.2 SQL注入 12

3.2.1 SQL注入定义 12

3.2.2 SQL注入危害 13

3.3 跨站脚本攻击 14

3.3.1 跨站脚本攻击定义 14

3.3.2 跨站脚本攻击原理 14

3.4 常见Web防御手段绕过 14

3.5 本章小结 15

第四章 Web模糊测试技术 16

4.1 测试环境 16

4.2 测试页面采集 16

4.2.1 通用网络爬虫 17

4.2.2 爬虫搜索策略 17

4.2.3 URL清洗 18

4.3 探测输入点 18

4.3.1 请求方法 19

4.3.2 请求的URI 19

4.3.3 请求头 20

4.4 异常检测 20

4.5 本章小结 21

第五章 Web漏洞模糊测试工具AWF的设计与实现 22

5.1 设计思想和开发环境 22

5.2 AWF工具介绍 22

5.2.1 AWF整体框架 22

5.2.2 AWF模块功能 23

5.3 AWF工具的实现 23

5.3.1 主被动结合的URL采集 23

5.3.2 基于变异的测试用例生成 24

5.3.3 结果解析与报告生成 25

5.4 本章小结 26

第六章 实验与分析 27

6.1 实验环境搭建 27

6.1.1 软件环境要求 27

6.1.2 测试对象 27

6.2 实验方案与设定 27

6.2.1 正确性验证 27

6.2.2 URL采集性能 28

6.2.3 漏洞触发数 28

6.3 结果与分析 28

6.3.1 正确性验证 29

6.3.2 URL采集性能 29

6.3.3 漏洞触发数 30

6.4 本章小结 30

第七章 总结与展望 32

7.1 总结 32

7.2 展望 32

参考文献 34

绪论

研究背景和意义

研究背景

伴随着Web应用技术的高速发展，现实世界中Web应用程序所扮演的角色越发重要。Web2.0等技术的普及让更多的应用程序开始接入互联网，Web应用程序的优势得以借此放大。

Web应用程序相对于其他应用程序来说有它鲜明的优势地位。它无需用户执行繁琐的安装过程，所需要的仅仅是一个浏览器；它也几乎不占用用户的硬盘空间；Web应用程序的更新只需要开发者在服务端部署新的代码，客户端无需任何操作就可以享受到新的特性；跨平台化，只需开发一套代码就可用于任何平台（Windows，MacOs，Linux）。如今浏览器的功能也越发强大，可以构造出高交互性、高人性化的用户页面。不仅仅是普通用户，越来越的机构单位也开始利用Web应用程序来作为内部的办公平台，将Web应用程序作为信息共享、日常事务的一种重要方式。开发Web应用程序的语言相对简单，对于初学者来说，可以利用一些成熟的框架体系来快速开发出一套应用程序。

剩余内容已隐藏，请支付后下载全文，论文总字数：28605字