本文選題：Web應(yīng)用漏洞 + 網(wǎng)絡(luò)爬蟲(chóng)　； 參考：《浙江工商大學(xué)》2017年碩士論文

【摘要】：隨著Web應(yīng)用不斷深入到人們工作和生活中,Web應(yīng)用安全問(wèn)題日益嚴(yán)峻,新的攻擊手段層出不窮,特別是針對(duì)Web應(yīng)用業(yè)務(wù)邏輯漏洞的攻擊時(shí)有發(fā)生,如攻擊者根據(jù)在線購(gòu)物支付漏洞可以任意修改支付金額。然而,現(xiàn)有的Web應(yīng)用漏洞掃描工具只能對(duì)非業(yè)務(wù)邏輯如SQL注入等常見(jiàn)漏洞進(jìn)行檢測(cè),業(yè)務(wù)邏輯漏洞只能靠人工檢測(cè),準(zhǔn)確率較高但是效率極其低下。為了解決該問(wèn)題,本文對(duì)密碼找回漏洞、在線購(gòu)物支付漏洞以及業(yè)務(wù)接口調(diào)用安全漏洞等三種類(lèi)型的Web應(yīng)用業(yè)務(wù)邏輯漏洞進(jìn)行研究,結(jié)合工具自動(dòng)化檢測(cè)和人工滲透測(cè)試的長(zhǎng)處,使用Python開(kāi)發(fā)了一個(gè)Web應(yīng)用業(yè)務(wù)邏輯漏洞檢測(cè)系統(tǒng)。本文的主要工作如下:(1)分析了 Web應(yīng)用安全的嚴(yán)峻形勢(shì)以及國(guó)內(nèi)外研究現(xiàn)狀,包括Web應(yīng)用安全從傳統(tǒng)Web應(yīng)用漏洞到Web應(yīng)用業(yè)務(wù)邏輯漏洞的轉(zhuǎn)變;(2)對(duì)檢測(cè)Web應(yīng)用漏洞過(guò)程中使用的滲透測(cè)試技術(shù)進(jìn)行了論述,并對(duì)滲透測(cè)試過(guò)程中使用的主流的抓包和編碼轉(zhuǎn)換等輔助工具進(jìn)行說(shuō)明,介紹了系統(tǒng)的開(kāi)發(fā)語(yǔ)言和開(kāi)發(fā)環(huán)境以及系統(tǒng)整體結(jié)構(gòu);(3)針對(duì)密碼找回漏洞、在線購(gòu)物支付漏洞以及業(yè)務(wù)接口調(diào)用安全漏洞等Web應(yīng)用業(yè)務(wù)邏輯漏洞進(jìn)行了大量的滲透測(cè)試,并在此基礎(chǔ)上分析漏洞利用原理,總結(jié)出漏洞測(cè)試的一般性方法,對(duì)業(yè)務(wù)邏輯漏洞的檢測(cè)方法進(jìn)行研究;(4)解決了網(wǎng)絡(luò)爬蟲(chóng)的兩個(gè)核心問(wèn)題:URL提取和核心算法的選擇,實(shí)現(xiàn)了基于網(wǎng)絡(luò)爬蟲(chóng)的密碼找回漏洞、在線購(gòu)物支付漏澗以及業(yè)務(wù)接口調(diào)用安全漏洞的自動(dòng)化檢測(cè);(5)在系統(tǒng)需求分析和設(shè)計(jì)的基礎(chǔ)上開(kāi)發(fā)了一款擴(kuò)展性良好的Web應(yīng)用業(yè)務(wù)邏輯漏洞檢測(cè)系統(tǒng),對(duì)關(guān)鍵模塊的設(shè)計(jì)和實(shí)現(xiàn)進(jìn)行了詳細(xì)說(shuō)明,然后選取主流的Web應(yīng)用對(duì)系統(tǒng)進(jìn)行功能模塊測(cè)試和性能測(cè)試,分析測(cè)試結(jié)果證實(shí)系統(tǒng)的可行性和高效性。
[Abstract]:In order to solve the problem , the paper discusses the key problems of Web application security , such as password recovery vulnerability , online shopping payment vulnerability and service interface call security breach .

【學(xué)位授予單位】：浙江工商大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類(lèi)號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 俞詩(shī)源;王譽(yù)天;劉鑫;;Burpsuite工具在漏洞檢測(cè)中的應(yīng)用[J];信息網(wǎng)絡(luò)安全;2016年09期

2 趙思遠(yuǎn);;HTTP協(xié)議頭及錯(cuò)誤碼詳解[J];計(jì)算機(jī)與網(wǎng)絡(luò);2016年11期

3 賈文超;汪永益;施凡;常超;;基于動(dòng)態(tài)污點(diǎn)傳播模型的DOM XSS漏洞檢測(cè)[J];計(jì)算機(jī)應(yīng)用研究;2014年07期

4 趙躍華;胡向濤;;網(wǎng)絡(luò)釣魚(yú)攻擊的防御技術(shù)及防御框架設(shè)計(jì)[J];計(jì)算機(jī)應(yīng)用研究;2013年06期

5 吳世忠;郭濤;董國(guó)偉;王嘉捷;;軟件漏洞分析技術(shù)進(jìn)展[J];清華大學(xué)學(xué)報(bào)(自然科學(xué)版);2012年10期

6 張亮;;基于HTMLParser和HttpClient的網(wǎng)絡(luò)爬蟲(chóng)原理與實(shí)現(xiàn)[J];電腦編程技巧與維護(hù);2011年20期

7 范淵;;Web應(yīng)用風(fēng)險(xiǎn)掃描的研究與應(yīng)用[J];信息安全與技術(shù);2010年09期

8 楊定中;趙剛;王泰;;網(wǎng)絡(luò)爬蟲(chóng)在Web信息搜索與數(shù)據(jù)挖掘中應(yīng)用[J];計(jì)算機(jī)工程與設(shè)計(jì);2009年24期

9 陳臘梅;李為;程振林;張曉力;;AJAX跨域訪問(wèn)的研究與應(yīng)用[J];計(jì)算機(jī)工程與設(shè)計(jì);2008年22期

10 趙亭;陸余良;劉金紅;孫宏綱;施凡;;基于表單爬蟲(chóng)的Web漏洞探測(cè)[J];計(jì)算機(jī)工程;2008年09期

，

本文編號(hào)：1877925