Web應(yīng)用業(yè)務(wù)邏輯漏洞檢測(cè)技術(shù)研究.pdf

1、隨著Web應(yīng)用不斷深入到人們工作和生活中，Web應(yīng)用安全問(wèn)題日益嚴(yán)峻，新的攻擊手段層出不窮，特別是針對(duì)Web應(yīng)用業(yè)務(wù)邏輯漏洞的攻擊時(shí)有發(fā)生，如攻擊者根據(jù)在線購(gòu)物支付漏洞可以任意修改支付金額。然而，現(xiàn)有的Web應(yīng)用漏洞掃描工具只能對(duì)非業(yè)務(wù)邏輯如SQL注入等常見(jiàn)漏洞進(jìn)行檢測(cè)，業(yè)務(wù)邏輯漏洞只能靠人工檢測(cè)，準(zhǔn)確率較高但是效率極其低下。為了解決該問(wèn)題，本文對(duì)密碼找回漏洞、在線購(gòu)物支付漏洞以及業(yè)務(wù)接口調(diào)用安全漏洞等三種類(lèi)型的Web應(yīng)用業(yè)務(wù)邏輯漏洞進(jìn)

2、行研究，結(jié)合工具自動(dòng)化檢測(cè)和人工滲透測(cè)試的長(zhǎng)處，使用Python開(kāi)發(fā)了一個(gè)Web應(yīng)用業(yè)務(wù)邏輯漏洞檢測(cè)系統(tǒng)。本文的主要工作如下:
　　(1)分析了Web應(yīng)用安全的嚴(yán)峻形勢(shì)以及國(guó)內(nèi)外研究現(xiàn)狀，包括Web應(yīng)用安全從傳統(tǒng)Web應(yīng)用漏洞到Web應(yīng)用業(yè)務(wù)邏輯漏洞的轉(zhuǎn)變;
　　(2)對(duì)檢測(cè)Web應(yīng)用漏洞過(guò)程中使用的滲透測(cè)試技術(shù)進(jìn)行了論述，并對(duì)滲透測(cè)試過(guò)程中使用的主流的抓包和編碼轉(zhuǎn)換等輔助工具進(jìn)行說(shuō)明，介紹了系統(tǒng)的開(kāi)發(fā)語(yǔ)言和開(kāi)發(fā)環(huán)境以及系統(tǒng)

3、整體結(jié)構(gòu);
　　(3)針對(duì)密碼找回漏洞、在線購(gòu)物支付漏洞以及業(yè)務(wù)接口調(diào)用安全漏洞等Web應(yīng)用業(yè)務(wù)邏輯漏洞進(jìn)行了大量的滲透測(cè)試，并在此基礎(chǔ)上分析漏洞利用原理，總結(jié)出漏洞測(cè)試的一般性方法，對(duì)業(yè)務(wù)邏輯漏洞的檢測(cè)方法進(jìn)行研究;
　　(4)解決了網(wǎng)絡(luò)爬蟲(chóng)的兩個(gè)核心問(wèn)題:URL提取和核心算法的選擇，實(shí)現(xiàn)了基于網(wǎng)絡(luò)爬蟲(chóng)的密碼找回漏洞、在線購(gòu)物支付漏洞以及業(yè)務(wù)接口調(diào)用安全漏洞的自動(dòng)化檢測(cè);
　　(5)在系統(tǒng)需求分析和設(shè)計(jì)的基礎(chǔ)上開(kāi)發(fā)了