基于模拟用户的Ajax Web自动化测试模型

针对一般爬虫不能获取动态页面,导致源码获取障碍,从而无法对Web应用进行自动化渗透测试分析这一问题,提出了一种基于模拟用户的Ajax Web自动化测试模型,通过模拟用户触发JavaScript事件后利用JavaScript引擎解析该事件,从而获取相应的动态页面,然后利用Fuzzing测试检测相应的Web安全漏洞.以结构化查询语言注入攻击和跨站脚本攻击为例,通过实验发现:所提出的测试模型能有效发现采用Ajax技术的Web应用中存在的Web安全问题.     

一种Web应用测试生成与约简方法

软件测试是保证软件质量的一种重要手段,而复杂的Web应用对测试提出了新的要求.提出一种Web应用测试生成与约简方法,该方法对Web应用导航进行形式建模,使用模型检验导航安全性质所输出的反例分化模型,然后根据分化模型产生测试序列,依据Web应用的特性对测试序列集进行约简.实例演示表明该方法的有效性.     

基于时间Petri网的渗透测试攻击模型研究

针对攻击模型会因为描述的攻击参数不完备,导致实际应用价值降低的问题,提出一种以漏洞为基本粒度,基于时间Petri网的渗透测试攻击模型及构建方法. 该方法对已知漏洞列表构建单漏洞利用模型,通过整合形成渗透测试攻击模型,并提供快速和稳定的漏洞利用方案选择算法,获得相应攻击方案,以及完成一次渗透攻击所需最短时间. 实验结果表明,该模型及算法可以有效地描述攻击时间和攻击稳定性,可实际应用于渗透测试.      

一种用于Web应用程序测试的对象模型

Web应用程序开发的复杂性使得Web应用程序测试技术的研究成为软件测试领域的研究热点。提出了一种用于Web应用程序测试的对象模型,该模型从便于测试的角度将Web应用程序抽象成三种对象:客户端对象、服务端对象和组件对象。与以往的模型相比较,该模型不仅有助于测试人员理解Web应用程序,也有助于测试用例的直接提取。     

基于行为关联的Web自适应入侵检测系统设计与实现

提出了一种适用于Web服务器的自适应入侵检测机制,将检测模块直接嵌入Web服务器中,采用客户访问行为关联预测,配合异常检测和误用检测,动态产生和调整特征规则,确定合法请求,过滤异常请求并确认攻击类型,从而达到预防新型攻击与检测已知攻击事件的目的. 对实现的系统进行了测试验证,在一般攻击扫描情况下攻击检测准确率可高达95.8%.     

DoS渗透测试平台的设计与实现

介绍了DoS攻击的原理及常见的DoS攻击，设计了基于Web的DoS渗透测试平台原型，并在Linux下用JSP和C语言原始套接字实现了该原型；使用Java语言编写了全连接端口扫描类，采用先进行端口扫描后测试的方法，提高了测试的效率；对Web方式渗透测试平台和传统测试软件性能进行了比较与分析，在此基础上，提出了有效减小DoS攻击危害程度的方法。     

基于ModSecurity防火墙的入侵检测模型研究与改进

ModSecurity包含了3种入侵检测模型,分别是消极安全模型、积极安全模型和已知漏洞攻击模型.针对消极安全模型,提出加入1种新的Web应用防火墙的自学习TL模型方法,采用先收集、整理和归纳网页参数特征,再与用户提交数据进行规则匹配的方法,实现对Web应用的安全防护,减少了Web管理员的繁琐的规则过滤设置,增强了ModSecurity防御的能力,提高了Web服务的安全性.     

Web应用威胁建模与定量评估

为有效地对Web应用威胁进行评估,分析了Web应用威胁现状,定义了Web应用威胁模型,提出了一种利用攻击图对Web应用进行威胁建模和定量评估的方法。描述了攻击图建模过程,并给出其生成算法。研究了利用攻击图对Web威胁进行量化评估的分析方法。通过一个典型的Web应用网络环境,对攻击图生成算法和Web威胁评估方法进行了验证。对Web应用进行量化威胁评估的结果,有效揭示了web应用面临的各种可能的威胁隐患和攻击路径,对有效抵御风险具有重要的意义。     

基于卷积门控循环神经网络的Web攻击检测方法

针对Web应用程序的攻击一直是网络空间对抗的热点问题，随着Web攻击技术的不断发展，传统的入侵检测系统和Web应用防火墙越来越无法满足安全防护需求。针对攻击者在Web请求中嵌入可执行代码或注入恶意代码来构造各种Web攻击，本文设计一种基于特征融合的恶意Web请求检测卷积门控循环单元(CGRU)神经网络。该网络利用CNN捕捉网络事件的局部特征和高阶特征，摒弃了传统的池化方法，采用GRU代替原有的池化层在时间维度上进行特征采集。同时，为了提高检测性能，筛选传统机器学习中在Web攻击检测领域分类效果较好的9个统计特征来增强原始特征。此外，还使用Word2Vec模型对词嵌入矩阵进行预训练，获得CGRU模型的输入，并对最终结果进行分类，有效提高多分类精度。在公开的HTTP CSIC 2010数据集上与当前典型方法进行对比实验，结果表明：本文所提方法的准确率为99.81%,召回率为99.78%,F₁值为98.80%,精准率为99.81%,较当前典型方法均有提高。     

基于网页分类的Web应用软件测试研究

随着Web应用软件的广泛应用,为了保证Web应用软件的质量和可靠性,人们越来越重视Web应用软件测试.但目前大多数基于模型的测试技术都很难满足人们对Web应用软件的测试要求,本文在模型测试技术的基础上,提出基于网页分类的Web应用软件测试方法,并通过一个网上购物系统的实例,验证了该方法在功能覆盖率和错误检测率两方面都有较好的表现.