發(fā)布時間：2020-11-14 04:05

　　 互聯(lián)網(wǎng)的日益普及使得Web應(yīng)用已經(jīng)成為人們生活中不可或缺的一部分,與之相應(yīng)的,Web應(yīng)用面臨的安全風(fēng)險也在逐漸增加。為了應(yīng)對形勢嚴(yán)峻的Web攻擊,設(shè)計并實現(xiàn)針對Web應(yīng)用的攻防演練系統(tǒng),可以提升用戶的Web攻防能力,具有很強的現(xiàn)實意義。為此,本文基于公開漏洞披露平臺的數(shù)據(jù)完成了Web應(yīng)用漏洞熱度分析,給出了攻防演練效果評估方法,并針對高熱度漏洞類型設(shè)計并實現(xiàn)了Web應(yīng)用攻防演練系統(tǒng)。主要研究內(nèi)容如下:(1)基于公開漏洞庫的漏洞熱度分析通過網(wǎng)絡(luò)爬蟲的方式獲取了漏洞公開披露平臺(CNVD、CVE等)的Web應(yīng)用漏洞數(shù)據(jù),對其進行了預(yù)處理,并利用關(guān)鍵字提取的方法進行了漏洞分類研究,最后提出了危害級別熱度、點擊數(shù)熱度、時間熱度三個Web應(yīng)用漏洞熱度評價指標(biāo),此指標(biāo)能有效地刻畫漏洞的時效性。(2)攻防演練效果評估研究提出了將攻擊耗時和攻擊(即漏洞)難度引入攻防演練效果評估的方法,較之以往只考慮攻擊結(jié)果的評估方法,提高了演練效果評估方法的全面性,對提升用戶的Web攻防能力起到積極的作用。(3)基于漏洞熱度的Web應(yīng)用攻防演練系統(tǒng)研究針對高熱度的Web應(yīng)用漏洞類型,設(shè)計了系統(tǒng)整體架構(gòu)、搭建了演練環(huán)境、分析了演練工具箱,并設(shè)計了系統(tǒng)的功能模塊,在此基礎(chǔ)上實現(xiàn)了Web應(yīng)用攻防演練系統(tǒng)。此系統(tǒng)考慮了漏洞熱度分析結(jié)果,對提高用戶的Web攻防能力具有實際應(yīng)用價值。
【學(xué)位單位】：中北大學(xué)
【學(xué)位級別】：碩士
【學(xué)位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

]，由 Web 服務(wù)器和客戶端構(gòu)成，因而這個階段針對網(wǎng)站的攻擊所造成的破壞能力十限[1]。隨著人們對網(wǎng)站交互能力的需求不斷增強，動態(tài)網(wǎng)站應(yīng)運而生。動態(tài)網(wǎng)站是站內(nèi)容可以根據(jù)不同情況而動態(tài)變化的網(wǎng)站[3]，主要用于完成如用戶注冊、信息發(fā)布息管理等交互式功能。動態(tài)網(wǎng)站一般采用三層結(jié)構(gòu)，其結(jié)構(gòu)如圖 2.1 所示。

]，由 Web 服務(wù)器和客戶端構(gòu)成，因而這個階段針對網(wǎng)站的攻擊所造成的破壞能力十限[1]。隨著人們對網(wǎng)站交互能力的需求不斷增強，動態(tài)網(wǎng)站應(yīng)運而生。動態(tài)網(wǎng)站是站內(nèi)容可以根據(jù)不同情況而動態(tài)變化的網(wǎng)站[3]，主要用于完成如用戶注冊、信息發(fā)布息管理等交互式功能。動態(tài)網(wǎng)站一般采用三層結(jié)構(gòu)，其結(jié)構(gòu)如圖 2.1 所示。

0 互聯(lián)網(wǎng)安全中心對互聯(lián)網(wǎng)中部分網(wǎng)站安全情況的監(jiān)測數(shù)據(jù)，在中，存在高危漏洞的網(wǎng)站有 33753 個（約 36%），中危漏洞的），比較安全的網(wǎng)站有 44567 個（約 48%）[3]，分布圖如圖 2.大部分 Web 應(yīng)用程序（網(wǎng)站）存在著安全漏洞，威脅著網(wǎng)站安
【相似文獻】

相關(guān)期刊論文 前10條

1 張昊星;孫應(yīng)飛;;通用Web漏洞庫[J];計算機系統(tǒng)應(yīng)用;2013年11期

2 陳波;師惠忠;;一種新型Web應(yīng)用安全漏洞統(tǒng)一描述語言[J];小型微型計算機系統(tǒng);2011年10期

3 譚彬;楊明;梁業(yè)裕;寧建創(chuàng);;Web安全漏洞研究和防范[J];通信技術(shù);2017年04期

4 寧雙;;WEB常見漏洞危害及修復(fù)建議[J];計算機與網(wǎng)絡(luò);2017年12期

5 楊國輝;;最新Web應(yīng)用漏洞報告[J];中國信息安全;2010年01期

6 楊國輝;;俄羅斯2009年Web應(yīng)用漏洞報告[J];中國信息安全;2010年06期

7 杜經(jīng)農(nóng);盧炎生;;一種Web軟件安全漏洞分類方法[J];計算機工程與應(yīng)用;2009年25期

8 李艷華;郝艷;李海威;;一種改進的Web應(yīng)用越權(quán)漏洞自動化檢測方法研究及實現(xiàn)[J];警察技術(shù);2017年04期

9 劉杰;葛曉玢;;Web安全漏洞防范研究[J];山東農(nóng)業(yè)工程學(xué)院學(xué)報;2016年02期

10 蔣志初;胡毅;;一個WEB漏洞從發(fā)現(xiàn)到修補的實例分析[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2015年07期

相關(guān)博士學(xué)位論文 前10條

1 杜經(jīng)農(nóng);基于Web的應(yīng)用軟件安全漏洞測試方法研究[D];華中科技大學(xué);2010年

2 溫濤;安全漏洞危害評估研究暨標(biāo)準(zhǔn)漏洞庫的設(shè)計與實現(xiàn)[D];西安電子科技大學(xué);2016年

3 梁曉兵;面向二進制程序漏洞挖掘的相關(guān)技術(shù)研究[D];北京郵電大學(xué);2012年

4 田偉;模型驅(qū)動的web應(yīng)用SQL注入安全漏洞滲透測試研究[D];南開大學(xué);2012年

5 張量;基于語義Web服務(wù)的虛擬物流企業(yè)組建關(guān)鍵技術(shù)研究[D];大連海事大學(xué);2009年

6 劉振鵬;基于對等網(wǎng)絡(luò)的Web服務(wù)選擇機制研究[D];天津大學(xué);2009年

7 李杰;基于服務(wù)質(zhì)量的Web服務(wù)模型及應(yīng)用研究[D];中國科學(xué)院研究生院（計算技術(shù)研究所）;2005年

8 許洪波;大規(guī)模信息過濾技術(shù)研究及其在Web問答系統(tǒng)中的應(yīng)用[D];中國科學(xué)院研究生院（計算技術(shù)研究所）;2003年

9 劉方方;Web服務(wù)合成與可用性的若干關(guān)鍵技術(shù)研究[D];復(fù)旦大學(xué);2007年

10 王志強;基于模糊測試的漏洞挖掘及相關(guān)攻防技術(shù)研究[D];西安電子科技大學(xué);2015年

相關(guān)碩士學(xué)位論文 前10條

1 任小東;基于漏洞熱度的Web應(yīng)用攻防演練系統(tǒng)研究[D];中北大學(xué);2018年

2 趙星;Web漏洞挖掘與安全防護研究[D];中北大學(xué);2016年

3 張慧;Web客戶端安全漏洞評估方案設(shè)計與實現(xiàn)[D];西安電子科技大學(xué);2014年

4 肖紅;Web應(yīng)用漏洞的分析和防御[D];西安電子科技大學(xué);2013年

5 穆超;面向Web的漏洞聚合和管理工具的研究與實現(xiàn)[D];山東大學(xué);2016年

6 張宗之;基于爬蟲技術(shù)的web應(yīng)用漏洞挖掘的研究[D];北京郵電大學(xué);2013年

7 安瀟羽;大規(guī)模Web服務(wù)器漏洞發(fā)現(xiàn)與驗證技術(shù)研究[D];北京郵電大學(xué);2016年

8 鄭炯;WEB應(yīng)用安全漏洞挖掘的研究與實現(xiàn)[D];電子科技大學(xué);2011年

9 徐奇;基于web客戶端的跨站腳本漏洞的檢測技術(shù)研究[D];國際關(guān)系學(xué)院;2016年

10 李政;基于模糊測試的Web應(yīng)用漏洞發(fā)掘技術(shù)研究與實現(xiàn)[D];北京理工大學(xué);2015年

本文編號：2883053