【SQL开源代码栏目提醒】：网学会员在SQL开源代码频道为大家收集整理了“Web安全渗透测试研究 - 硕士论文“提供大家参考，希望对大家有所帮助!

西安电子科技大学 硕士学位论文Web安全渗透测试研究 ：硕士 专业：密码学 指导教师：张玉清 20100101 摘要 摘要 随着Ｉｎｔｅｍｅｔ的发展，Ｗｅｂ应用已经成为许多公司与外界进行业务往来的通用渠道。

    Ｗｅｂ技术广泛部署于目前的信息系统中。

    但对于恶意攻击者来说，这为他们提供了两个机会：第一，ｈｔｔｐ和ｈｔｔｐｓ通信流通常是能够正常通过防火墙和过滤技术的信息流。

    第二个机会在于不断增加的Ｗｅｂ漏洞。

     针对不断出现的Ｗｅｂ安全问题，本文着重研究了危害Ｗｅｂ应用程序的两种主要漏洞，ＳＱＬ注入和ＸＳＳ漏洞，并研究了Ｗｅｂ安全渗透测试技术。

     本文的主要工作有以下几方面： １）通过搭建本地分析环境，深入分析了ＳＱＬ注入和ＸＳＳ漏洞的形成原因； ２）通过Ｗｉｒｅｓｈａｒｋ抓包，对现有一些ＳＱＬ注入检测工具进行分析比较，分析 了不同工具对ＳＱＬ注入漏洞检测的方法和检测字符； ３）根据分析的ＳＱＬ注入和ＸＳＳ漏洞的检测方法，对一些实际网站和ＴＲＰ项 目相关网站进行了渗透测试和风险评估，发现了一些危害较大的漏洞，从 而说明设计的方法在一定程度上切实有效。

    关键词：Ｗｅｂ安全渗透测试ＳＱＬ注入ＸＳＳ Ａｂｓｔｒａｃｔ Ａｂｓｔｒａｃｔ Ｗ曲ｔｈｅｄｅｖｅｌｏｐｍｅｎｔｏｆＩｎｔｅｍｅｔ，ｗｅｂａｐｐｌｉｃａ ｔｉｏｎｓｈａｖｅｂｅｃｏｍｅｃｏｍｍｏｎｗａｙｆｏｒｃｏｍｐａｎｉｅｓｔｏｃｏｎｄｕｃｔｂｕｓｉｎｅｓｓｗｉｔｈｔｈｅｏｕｔｓｉｄｅｗｏｒｌｄ．Ｗｒｅｂｔｅｃｈｎｏｌｏｇｉｅｓａｌｅｗｉｄｅｌｙｄｅｐｌｏｙｅｄｉｎｎｏｗａｄａｙｓｉｎｆｏｒｍａｔｉｏｎｓｙｓｔｅｍｓ．Ｂｕｔ，ｆｏｒｔｈｅａｔｔａｃｋｅｒｓ，ｔｈｉｓｆａｃｔｏｆｆｅｒｓｔｗｏｏｐｐｏｒｔｕｎｉｔｉｅｓ：Ｆｉｒｓｔ，ｈｔｔｐ／ｈｔｔｐｓｔｒａｆｆｉｃｉｓｏｆｔｅｎｔｈｅｏｎｌｙｓｅｒｖｉｃｅａｌｌｏｗｅｄｔｈｒｏｕｇｈｔｈｅｆｎ’ｅ－ｗａｌｌａｎｄｆｉｌｔｅｒｉｎｇｔｅｃｈｎｏｌｏｇｉｅｓ．ＴｈｅｓｅｃｏｎｄｏｐｐｏｒｔｕｎｉｔｙｌｉｅｓｉｎｉｎｃｒｅａｓｉｎｇｎｕｍｂｅｒｓｏｆＷｅｂｒｅｌａｔｅｄａｐｐｌｉｃａｔｉｏｎｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ． ＦｏｒｔｈｅｅｍｅｒｇｉｎｇＷｅｂｓｅｃｕｒｉｔｙｉｓｓｕｅｓ，ｔｈｉｓｐａｐｅｒｓｔｕｄｉｅｓｔｗｏｋｉｎｄｓ ｏｆｗｅｂａｐｐｌｉｃａｔｉｏｎｖｕｌｎｅｒａｂｉｌｉｔｉｅｓｗｈｉｃｈｔｈｒｅａｔｔｈｅｗｅｂａｐｐｌｉｃａｔｉｏｎｓ，ｍａｉｎｌｙＳＱＬｉｎｊｅｃｔｉｏｎａｎｄＸＳＳｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ，ａｎｄｔｈｅｔｅｃｈｎｏｌｏｇｉｅｓｏｆｐｅｎｅｔｒａｔｉｏｎｔｅｓｔｉｎｇｔｏｗｅｂａｐｐｌｉｃａｔｉｏｎ． １１１ｅｍａｉｎｃｏｎｔｒｉｂｕｔｉｏｎｓｏｆｔｈｉｓｐａｐｅｒｃａｌｌｂｅｓｕｍｍａｒｉｚｅ ｄａｓｆｏｌｌｏｗｓ： １）Ｂｙｂｕｉｌｄｉｎｇｌｏｃａｌｅｎｖｉｒｏｎｍｅｎｔｆｏｒａｎａｌｙｓｉｓ，ｔｈｉｓｐａ ｐｅｒｄｅｅｐｌｙａｎａｌｙｚｅｄｔｈｅ ｒｅａｓｏｎｓｆｏｒｔｈｅｆｏｒｍａｔｉｏｎｏｆＳＱＬ坷ｅｃｔｉｏｎａｎｄＸ ＳＳｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ． ２）Ｂｙｃａｐｔｕｒｉｎｇｔｈｅｎｅｔｗｏｒｋｐａｃｋｅｔｓｗｉｔｈｗｉｒｅｓｈａｒｋ，ｃｏ ｍｐａｒｅｄ诵ｍｄｉｆｆｅｒｅｎｔ ｔｏｏｌｓｎＯＷａｖａｉｌａｂｌｅ，ａｎａｌｙｚｅｄｍｅｔｈｏｄｓａｎｄｓｏｍｅｃｈａｒａｃｔｅｒｓｏｆｄ ｉｆｆｅｒｅｎｔｔｏｏｌｓ ｆｏｒｄｅｔｅｃｔｉｎｇＳＱＬｉｎｊｅｃｔ ｉｏｎ． ３）ＡｃｃｏｒｄｉｎｇｔｏｔｈｅａｎａｌｙｓｉｓｏｆＳＱＬｉｎｊｅｃｔｉｏｎａｎｄＸＳＳｖｕ ｌｎｅｒａｂｉｌｉｔｙｄｅｔｅｃｔｉｏｎ ｍｅｔｈｏｄｓ．ｆｏｒｓｏｍｅａｃｔｕａｌｓｉｔｅｓａｎｄＴＲＰｐｒｏｊｅｃｔ－ｒｅｌａｔｅｄｓ ｉｔｅｓｉｎｐｅｎｅｔｒａｔｉｏｎ ｔｅｓｔｉｎｇａｎｄｒｉｓｋａｓｓｅｓｓｍｅｎｔ，ｆｏｕｎｄｓｏｍｅｇｒｅａｔｈａｒｍｆｕｌｖｕｌｎｅｒａ ｂｉｌｉｔｉｅｓａｎｄｎｏｔｅｄ ｔｈａｔｔｈｅｄｅｓｉｇｎｅｄｍｅｔｈｏｄｓｗｅｒｅｅｆｆｅｃｔｉｖ ｅｔｏｓｏｍｅｅｘｔｅｎｔ．Ｋｅｙｗｏｒｄｓ：ＷｅｂＳｅｃｕｒｉｔｙＰｅｎｅｔｒａｔｉｏｎＴｅｓｔｉｎｇＳＱＬＩｎｊｅｃｔｉｏｎＸＳＳ 创新性声明 秉承学校严谨的学风和优良的科学道德，本人声明所呈交的论文是我个人在 导师的指导下进行的研究工作及取得的研究成果。

    尽我所知，除了文中特别加以 标注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰