本文選題：Web應(yīng)用漏洞 + 網(wǎng)絡(luò)爬蟲�。� 參考：《浙江工商大學(xué)》2017年碩士論文

【摘要】：隨著Web應(yīng)用不斷深入到人們工作和生活中,Web應(yīng)用安全問題日益嚴(yán)峻,新的攻擊手段層出不窮,特別是針對Web應(yīng)用業(yè)務(wù)邏輯漏洞的攻擊時有發(fā)生,如攻擊者根據(jù)在線購物支付漏洞可以任意修改支付金額。然而,現(xiàn)有的Web應(yīng)用漏洞掃描工具只能對非業(yè)務(wù)邏輯如SQL注入等常見漏洞進行檢測,業(yè)務(wù)邏輯漏洞只能靠人工檢測,準(zhǔn)確率較高但是效率極其低下。為了解決該問題,本文對密碼找回漏洞、在線購物支付漏洞以及業(yè)務(wù)接口調(diào)用安全漏洞等三種類型的Web應(yīng)用業(yè)務(wù)邏輯漏洞進行研究,結(jié)合工具自動化檢測和人工滲透測試的長處,使用Python開發(fā)了一個Web應(yīng)用業(yè)務(wù)邏輯漏洞檢測系統(tǒng)。本文的主要工作如下:(1)分析了 Web應(yīng)用安全的嚴(yán)峻形勢以及國內(nèi)外研究現(xiàn)狀,包括Web應(yīng)用安全從傳統(tǒng)Web應(yīng)用漏洞到Web應(yīng)用業(yè)務(wù)邏輯漏洞的轉(zhuǎn)變;(2)對檢測Web應(yīng)用漏洞過程中使用的滲透測試技術(shù)進行了論述,并對滲透測試過程中使用的主流的抓包和編碼轉(zhuǎn)換等輔助工具進行說明,介紹了系統(tǒng)的開發(fā)語言和開發(fā)環(huán)境以及系統(tǒng)整體結(jié)構(gòu);(3)針對密碼找回漏洞、在線購物支付漏洞以及業(yè)務(wù)接口調(diào)用安全漏洞等Web應(yīng)用業(yè)務(wù)邏輯漏洞進行了大量的滲透測試,并在此基礎(chǔ)上分析漏洞利用原理,總結(jié)出漏洞測試的一般性方法,對業(yè)務(wù)邏輯漏洞的檢測方法進行研究;(4)解決了網(wǎng)絡(luò)爬蟲的兩個核心問題:URL提取和核心算法的選擇,實現(xiàn)了基于網(wǎng)絡(luò)爬蟲的密碼找回漏洞、在線購物支付漏澗以及業(yè)務(wù)接口調(diào)用安全漏洞的自動化檢測;(5)在系統(tǒng)需求分析和設(shè)計的基礎(chǔ)上開發(fā)了一款擴展性良好的Web應(yīng)用業(yè)務(wù)邏輯漏洞檢測系統(tǒng),對關(guān)鍵模塊的設(shè)計和實現(xiàn)進行了詳細(xì)說明,然后選取主流的Web應(yīng)用對系統(tǒng)進行功能模塊測試和性能測試,分析測試結(jié)果證實系統(tǒng)的可行性和高效性。
[Abstract]:In order to solve the problem , the paper discusses the key problems of Web application security , such as password recovery vulnerability , online shopping payment vulnerability and service interface call security breach .

【學(xué)位授予單位】：浙江工商大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【參考文獻】

相關(guān)期刊論文 前10條

1 俞詩源;王譽天;劉鑫;;Burpsuite工具在漏洞檢測中的應(yīng)用[J];信息網(wǎng)絡(luò)安全;2016年09期

2 趙思遠;;HTTP協(xié)議頭及錯誤碼詳解[J];計算機與網(wǎng)絡(luò);2016年11期

3 賈文超;汪永益;施凡;常超;;基于動態(tài)污點傳播模型的DOM XSS漏洞檢測[J];計算機應(yīng)用研究;2014年07期

4 趙躍華;胡向濤;;網(wǎng)絡(luò)釣魚攻擊的防御技術(shù)及防御框架設(shè)計[J];計算機應(yīng)用研究;2013年06期

5 吳世忠;郭濤;董國偉;王嘉捷;;軟件漏洞分析技術(shù)進展[J];清華大學(xué)學(xué)報(自然科學(xué)版);2012年10期

6 張亮;;基于HTMLParser和HttpClient的網(wǎng)絡(luò)爬蟲原理與實現(xiàn)[J];電腦編程技巧與維護;2011年20期

7 范淵;;Web應(yīng)用風(fēng)險掃描的研究與應(yīng)用[J];信息安全與技術(shù);2010年09期

8 楊定中;趙剛;王泰;;網(wǎng)絡(luò)爬蟲在Web信息搜索與數(shù)據(jù)挖掘中應(yīng)用[J];計算機工程與設(shè)計;2009年24期

9 陳臘梅;李為;程振林;張曉力;;AJAX跨域訪問的研究與應(yīng)用[J];計算機工程與設(shè)計;2008年22期

10 趙亭;陸余良;劉金紅;孫宏綱;施凡;;基于表單爬蟲的Web漏洞探測[J];計算機工程;2008年09期

，

本文編號：1877925