發(fā)布時(shí)間：2018-01-17 00:22

  本文關(guān)鍵詞：基于Selenium的安全自動(dòng)測(cè)試技術(shù)的研究與實(shí)現(xiàn)　出處：《廣東工業(yè)大學(xué)》2015年碩士論文　論文類型：學(xué)位論文

  更多相關(guān)文章： Selenium 測(cè)試自動(dòng)化 網(wǎng)絡(luò)爬蟲(chóng) Web安全 安全測(cè)試

【摘要】：伴隨著科學(xué)技術(shù)高速發(fā)展,互聯(lián)網(wǎng)也迎來(lái)了一個(gè)最美好的時(shí)代。人們利用互聯(lián)網(wǎng)從原來(lái)的單純?yōu)g覽信息到現(xiàn)在辦理各項(xiàng)其他事情,越來(lái)越多的事務(wù)從線下轉(zhuǎn)移到線上,無(wú)論是買車票、繳納水電費(fèi)或是購(gòu)置其他商品,都可以在網(wǎng)上進(jìn)行,互聯(lián)網(wǎng)已經(jīng)成為民眾生活不可或缺的一部分,Web應(yīng)用因此得到了一個(gè)爆發(fā)性的增長(zhǎng)。然而Web應(yīng)用之中存在的漏洞越來(lái)越多樣化,使得安全測(cè)試工作難以支撐Web應(yīng)用的發(fā)展。傳統(tǒng)的安全測(cè)試是采用手工模擬攻擊者的手段對(duì)Web安全進(jìn)行滲透測(cè)試,而手工測(cè)試缺缺乏效率,而且人為產(chǎn)生的錯(cuò)誤因素也經(jīng)常會(huì)影響測(cè)試結(jié)果,不能確保測(cè)試結(jié)果的準(zhǔn)確性。目前商用的自動(dòng)化測(cè)試工具價(jià)格不菲,對(duì)于廣大中小企業(yè)來(lái)說(shuō)使用商用的自動(dòng)化測(cè)試工具并不具有可操作性。本文分析與研究了基于Selenium的安全自動(dòng)測(cè)試技術(shù),Selenium是一個(gè)開(kāi)源的工具,采用Selenium進(jìn)行開(kāi)發(fā)可以有效地降低測(cè)試成本。本文利用Selenium對(duì)當(dāng)前主流的漏洞設(shè)計(jì)并實(shí)現(xiàn)了漏洞掃描功能,并發(fā)揮了Selenium的可拓展性的特點(diǎn),從而設(shè)計(jì)出一款可用性高,具有良好性能的安全測(cè)試工具。它能夠?qū)�Web應(yīng)用進(jìn)行自動(dòng)化的安全測(cè)試,不僅可以在Web應(yīng)用上線前進(jìn)行安全測(cè)試,還能夠在上線后進(jìn)行測(cè)試,從而可以提前做好相應(yīng)對(duì)策,減少損失。本文主要工作如下：1.分析當(dāng)前Web應(yīng)用的安全態(tài)勢(shì),對(duì)國(guó)內(nèi)國(guó)外自動(dòng)化測(cè)試的研究現(xiàn)狀做了介紹,詳細(xì)分析了當(dāng)前Web應(yīng)用所受到的安全威脅,并舉出數(shù)據(jù)說(shuō)明危害,說(shuō)明開(kāi)發(fā)一款能夠進(jìn)行自動(dòng)化進(jìn)行安全測(cè)試的系統(tǒng)的重要性。2.對(duì)Web應(yīng)用當(dāng)前存在的不同類型漏洞的特性進(jìn)行分析,重點(diǎn)分析了SQL注入漏洞和XSS跨站漏洞的產(chǎn)生原因、檢測(cè)方式以及防御方法等,并介紹了一些現(xiàn)階段比較流行的自動(dòng)化測(cè)試工具,包括本文使用的Selenium自動(dòng)化測(cè)試工具。3.針對(duì)獲取Web應(yīng)用存在的漏洞信息,對(duì)HTTP協(xié)議、URL獲取、網(wǎng)頁(yè)內(nèi)容獲取、網(wǎng)頁(yè)中表單的提取等等進(jìn)行了相關(guān)研究,設(shè)計(jì)了能夠?qū)δ繕?biāo)網(wǎng)站進(jìn)行爬取并過(guò)濾構(gòu)建URL的網(wǎng)絡(luò)爬蟲(chóng)模塊。4.在獲取了網(wǎng)頁(yè)信息之后,利用selenium測(cè)試目標(biāo)的交互、可拓展性的特點(diǎn),設(shè)計(jì)了SQL注入漏洞和XSS跨站漏洞的漏洞掃描模塊,通過(guò)自動(dòng)化的測(cè)試能夠生成詳細(xì)的測(cè)試報(bào)告。最后,通過(guò)搭建實(shí)驗(yàn)環(huán)境,對(duì)系統(tǒng)進(jìn)行了功能測(cè)試和性能測(cè)試,驗(yàn)證了系統(tǒng)的可用性和可靠性。
[Abstract]:With the rapid development of science and technology, the Internet has also ushered in the most beautiful era. More and more business from offline to online, whether it is to buy tickets, pay utilities or other goods, can be carried out online, the Internet has become an indispensable part of people's lives. Web applications have thus achieved an explosive growth. However, the vulnerabilities in Web applications are becoming more and more diverse. It is difficult for security testing to support the development of Web application. The traditional security test uses manual simulation of attackers to conduct penetration testing of Web security, but manual testing is inefficient. And man-made error factors often affect the test results, can not ensure the accuracy of test results. At present, commercial automated testing tools are expensive. For the majority of small and medium-sized enterprises, the use of commercial automated testing tools is not operable. This paper analyzes and studies the security automatic testing technology based on Selenium. Selenium is an open source tool. Using Selenium to develop can effectively reduce the cost of testing. This paper uses Selenium to design and realize the vulnerability scanning function of the current mainstream vulnerabilities. The extensibility of Selenium is brought into play, and a security testing tool with high availability and good performance is designed. It can automate the security test of Web application. It can not only test the security before the Web application goes on line, but also test after going online, so that the corresponding countermeasures can be made in advance. The main work of this paper is as follows: 1. Analyze the security situation of current Web application and introduce the research status of automation test at home and abroad. The security threats to the current Web application are analyzed in detail, and the data are given to illustrate the harm. Explain the importance of developing a system that can automate security testing. 2. Analyze the characteristics of different types of vulnerabilities in Web applications. This paper mainly analyzes the cause of SQL injection vulnerability and XSS cross-site vulnerability, and introduces some popular automated testing tools at the present stage. Including the Selenium automated testing tool used in this paper. 3. In order to obtain the vulnerability information of the Web application, the HTTP protocol and the content of the web page are obtained. The extraction of forms from web pages and other related research, designed to crawl the target website and filter the construction of URL web crawler module. 4. After obtaining the page information. Taking advantage of the interaction and expansibility of selenium test target, the vulnerability scanning module of SQL injection vulnerability and XSS cross-site vulnerability is designed. In the end, the function test and performance test of the system are carried out to verify the availability and reliability of the system.
【學(xué)位授予單位】：廣東工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 ;解析安全測(cè)試與滲透測(cè)試的區(qū)別[J];計(jì)算機(jī)與網(wǎng)絡(luò);2012年17期

2 湯文亮,丁振凡,湯飛;防火墻安全測(cè)試系統(tǒng)的研究與實(shí)現(xiàn)[J];華東交通大學(xué)學(xué)報(bào);2002年03期

3 劉洋;;在線自學(xué)自測(cè)系統(tǒng)的安全測(cè)試與分析[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2006年05期

4 陳威;季佳育;王剛;;如何做好信息系統(tǒng)上線前安全測(cè)試[J];華北電力技術(shù);2011年12期

5 陳博;;安全測(cè)試保障網(wǎng)上銀行安全[J];中國(guó)金融電腦;2012年08期

6 唐文;;協(xié)議安全測(cè)試在工業(yè)信息安全領(lǐng)域的應(yīng)用[J];中國(guó)儀器儀表;2014年07期

7 王宏;曹文霞;;軟件安全測(cè)試新武器——淺談基于Dynamic Taint Propagation的測(cè)試技術(shù)[J];程序員;2008年05期

8 李劍;馬國(guó)勝;;嵌入式電器安全測(cè)試平臺(tái)的研究[J];電腦知識(shí)與技術(shù);2010年15期

9 寧培一;;手機(jī)安全測(cè)試中的溫升要求及試驗(yàn)簡(jiǎn)介[J];中國(guó)無(wú)線電;2010年05期

10 ;金融網(wǎng)絡(luò)安全測(cè)試方案[J];電信網(wǎng)技術(shù);2014年01期

相關(guān)會(huì)議論文 前3條

1 白哥樂(lè);宮云戰(zhàn);楊朝紅;;基于源碼分析的軟件安全測(cè)試工具綜述[A];第五屆中國(guó)測(cè)試學(xué)術(shù)會(huì)議論文集[C];2008年

2 唐云;鐘力;何金勇;朱敏;;基于流量穿越的防火墻在線安全測(cè)試系統(tǒng)[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十三卷）[C];2008年

3 方桂彬;漆濤;馬躍;李洋;丁礫;;IMS中基于PROTOS的SIP協(xié)議安全測(cè)試方案研究[A];中國(guó)通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)2009年年會(huì)論文集（上冊(cè)）[C];2009年

相關(guān)重要報(bào)紙文章 前10條

1 榮鈺;更貼近現(xiàn)實(shí)的安全測(cè)試[N];網(wǎng)絡(luò)世界;2009年

2 《網(wǎng)絡(luò)世界》記者 蒙克;思博倫新一代安全測(cè)試方案 Avalanche NEXT感知應(yīng)用[N];網(wǎng)絡(luò)世界;2013年

3 本報(bào)記者 胡英;BreakingPoint推2到7層安全測(cè)試設(shè)備[N];計(jì)算機(jī)世界;2009年

4 袁衛(wèi)平　陳志偉;NSS發(fā)布瀏覽器安全測(cè)試結(jié)果[N];人民郵電;2014年

5 ;安全測(cè)試人員發(fā)現(xiàn)VMware軟件存在嚴(yán)重漏洞[N];網(wǎng)絡(luò)世界;2008年

6 馬;IPv6完成端到端安全測(cè)試[N];中國(guó)計(jì)算機(jī)報(bào);2004年

7 洪金;3C只是空調(diào)市場(chǎng)通行證[N];中國(guó)企業(yè)報(bào);2003年

8 董懷午;空調(diào)企業(yè)過(guò)了３Ｃ還須穩(wěn)步前行[N];中國(guó)房地產(chǎn)報(bào);2003年

9 王昆月;程序漏洞成黑帽大會(huì)關(guān)注點(diǎn)[N];計(jì)算機(jī)世界;2007年

10 著名經(jīng)濟(jì)評(píng)論人 葉檀;堅(jiān)決支持中國(guó)發(fā)展轉(zhuǎn)基因糧食[N];糧油市場(chǎng)報(bào);2010年

相關(guān)博士學(xué)位論文 前1條

1 章志燮;基于構(gòu)造類別代數(shù)的協(xié)議安全測(cè)試研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2009年

相關(guān)碩士學(xué)位論文 前8條

1 陳永慈;安全軟件開(kāi)發(fā)環(huán)境中安全測(cè)試工具的設(shè)計(jì)與實(shí)現(xiàn)[D];天津大學(xué);2008年

2 溫永利;無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)分析與安全測(cè)試技術(shù)[D];國(guó)防科學(xué)技術(shù)大學(xué);2007年

3 鐘鋒華;基于.NET網(wǎng)站的自動(dòng)化安全測(cè)試工具研究與實(shí)現(xiàn)[D];中南大學(xué);2007年

4 董文軍;耐壓泄漏安全測(cè)試及關(guān)鍵技術(shù)的研究[D];廣東工業(yè)大學(xué);2004年

5 田林林;基于PDA的Windows系統(tǒng)安全測(cè)試關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D];國(guó)防科學(xué)技術(shù)大學(xué);2009年

6 羅明宇;基于Selenium的安全自動(dòng)測(cè)試技術(shù)的研究與實(shí)現(xiàn)[D];廣東工業(yè)大學(xué);2015年

7 嚴(yán)仍友;嵌入式的電器安全測(cè)試平臺(tái)研究[D];廣東工業(yè)大學(xué);2005年

8 雷煒;基于FSM模型檢驗(yàn)的安全測(cè)試技術(shù)研究[D];廣東工業(yè)大學(xué);2013年

，

本文編號(hào)：1435492