web邏輯漏洞是近幾年出現(xiàn)的一種新型漏洞,與傳統(tǒng)的sql注入、跨站腳本攻擊、文件包含等漏洞不同。這種漏洞是人的思維邏輯出現(xiàn)錯誤,一般是通過利用業(yè)務(wù)流程和HTTP/HTTPS請求篡改,找到關(guān)鍵點后往往不用構(gòu)造惡意的請求即可完成攻擊,很容易繞開各種安全防護手段。而且對于邏輯漏洞的攻擊方法并沒有固定的模式,所以很難使用常規(guī)的漏洞檢測工具檢測出來。密碼找回、交易篡改和越權(quán)缺陷是最主流的三種邏輯漏洞,黑客利用這些漏洞能夠輕易地繞過身份認證機制、修改交易金額、竊取他人信息,對企業(yè)和個人造成很大的危害。雖然邏輯漏洞已經(jīng)被黑客多次利用,但邏輯漏洞的檢測方法還是靠人工檢測,準確率高但是效率極低。因為它是一種邏輯上的設(shè)計缺陷,業(yè)務(wù)流存在問題,這種類型的漏洞不僅限于網(wǎng)絡(luò)層、系統(tǒng)層、代碼層等,而且能夠逃逸各種網(wǎng)絡(luò)層、應(yīng)用層的防護設(shè)備,迄今為止缺少針對性的自動化檢測工具。為了緩解這些問題,本文提出一種可擴展的的自動化邏輯漏洞檢測的解決方案。以下是本文的主要工作內(nèi)容:(1)關(guān)鍵技術(shù)和問題研究。研究了傳統(tǒng)的人工滲透測試方法并改進,使其適用于實現(xiàn)自動化檢測;使用滲透測試,網(wǎng)絡(luò)爬蟲,網(wǎng)頁信息提取,url去重等技術(shù);設(shè)計一個解決方案實現(xiàn)對密碼找回、交易篡改和越權(quán)缺陷三種常見邏輯漏洞的自動化檢測。(2)系統(tǒng)設(shè)計。應(yīng)用設(shè)計的解決方案,實現(xiàn)自動化的邏輯漏洞檢測系統(tǒng)。擬定系統(tǒng)主要分成用戶界面、管理控制模塊、網(wǎng)頁采集模塊、漏洞檢測模塊以及檢測報告模塊。然后完成系統(tǒng)設(shè)計。(3)測試及分析。選取多個web應(yīng)用程序進行測試,并生成檢測報告。通過與人工滲透測試的方法進行對比,實現(xiàn)了邏輯漏洞自動化檢測,提高了邏輯漏洞檢測的效率。
【學位單位】：電子科技大學
【學位級別】：碩士
【學位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

經(jīng)過長期的監(jiān)測，有一些有趣的發(fā)現(xiàn)：如果黑客在進行代碼執(zhí)成本過大，那么他們就會選擇另外一種思路，利用程序員的設(shè)，這就是 web 業(yè)務(wù)邏輯漏洞。這種發(fā)現(xiàn)表明：邏輯漏洞目前并且較傳統(tǒng)的漏洞更隱蔽，值得我們關(guān)注。洞不同于傳統(tǒng)的漏洞，它可能出現(xiàn)在 web 應(yīng)用程序的系統(tǒng)層。另外，它屬于 web 業(yè)務(wù)的邏輯設(shè)計問題，有很大的不可預(yù)的普及，網(wǎng)站存了非常多的用戶信息，如身份證號碼、手機號個人信息對黑客的價值很大，所以很受黑客的關(guān)注。年初發(fā)布的 2017 年全年中國網(wǎng)站安全形勢分析報告中，補天平計接收到 22706 個網(wǎng)站安全漏洞，涉及范圍極廣，共涉及 143 月份收錄的網(wǎng)站漏洞數(shù)量最多，為 3338 個。對全年的網(wǎng)站析，占比最多的為 32.1%是 sql 注入漏洞，其次是占比分別為令執(zhí)行和信息泄露漏洞。占比較大的還有弱口令為 10.2%以及具體漏洞類型分布請見圖 1-1。邏輯漏洞包含圖表中的信息泄類型的漏洞。

以隨意修改合法用戶密碼，獲得用戶權(quán)限。的漏洞不同，web 業(yè)務(wù)邏輯漏洞一般有如下危害：、登陸、搶紅包及修改訂單等業(yè)務(wù)場景中存在大量潛在的業(yè)利用，將使用戶或者商家的利益受損。提供的優(yōu)惠券或者代金券業(yè)務(wù)有漏洞，遭黑盒利用被重復使在網(wǎng)站平臺會有一些余額，像這樣的存在價值的用戶，黑客。已發(fā)現(xiàn)的邏輯漏洞，配合傳統(tǒng)漏洞利用方式，產(chǎn)生更嚴重的種漏洞相當?shù)膰乐兀悄壳皹I(yè)界卻沒有一款專門針對這種類描工具，因為程序難以直接模仿程序員的思維邏輯，除非把思誤檢測工具，但這樣是完全不通用的。對于邏輯漏洞的挖掘仍工滲透測試的方法，這種方法雖然準確性較高，但是效率極低化。有安全團隊匯總了 2017 年測試 10000 款應(yīng)用的業(yè)務(wù)邏輯漏試檢測出的漏洞占所有漏洞的 65.3%，代碼審計檢測出的漏用安全掃描檢測出的漏洞占比 5.2%，分布詳情如圖 1-2。

測試的最佳選擇�；液袦y試與外部測試的流程也大致相似。2.2.3 滲透測試輔助工具本小節(jié)介紹兩款滲透測試自動化輔助工具。在進行人工滲透測試時，這兩款工具被用來幫助人們完成一些網(wǎng)頁攔截、網(wǎng)頁修改、發(fā)送 HTTP 請求、暴力破解弱密碼等操作。2.2.3.1 BurpsuitBurpsuit 是 web 漏洞檢測最受歡迎的工具之一。其多中功能可以幫助人們執(zhí)行各種任務(wù)。如 HTTP 請求的攔截和修改、弱密碼暴力破解、網(wǎng)絡(luò)結(jié)構(gòu)采集等等。對于抓取網(wǎng)站內(nèi)容 burpsuit 相當靈活，可以根據(jù)用戶訪問的鏈接動態(tài)設(shè)置網(wǎng)頁抓取的范圍。其主要的功能模塊有 proxy、spider、scanner、intruder、repeater、sequencer等功能，本文主要用到該軟件的代理功能和 intruder 功能。本文需要用到 Burpsuit的代理功能，默認端口是 8080。即作為一個攔截 HTTP/HTTPs 的代理服務(wù)器，作為一個在 B/S 之間的中間人。如圖 2-4 是代理功能攔截的數(shù)據(jù)包。
【相似文獻】

相關(guān)期刊論文 前10條

1 耿磊;;起步階段的網(wǎng)頁信息資源長期保存[J];上海檔案;2012年02期

2 陳建平;;高校重要網(wǎng)頁信息采集歸檔實踐探析[J];浙江檔案;2017年09期

3 楊金弓;趙璐;郭森;;《網(wǎng)頁信息展示》[J];美苑;2015年S2期

4 趙陽;;高校網(wǎng)頁翻譯特點、難點及英譯經(jīng)驗總結(jié)[J];校園英語;2017年12期

5 王彥焱;李文超;;分類加權(quán)的TF-IDF的網(wǎng)頁分類算法[J];數(shù)碼世界;2017年07期

6 程倩楠;譚龍;李浩飛;;面向BIU的網(wǎng)頁解析[J];科學中國人;2017年23期

7 李培豐;;基于“控制字符”網(wǎng)頁信息的隱藏技術(shù)[J];福建電腦;2014年06期

8 周慶;;知識管理背景下網(wǎng)頁信息檔案化管理的思考[J];蘭臺世界;2011年15期

9 安琳;;國外網(wǎng)頁信息存檔項目及相關(guān)問題研究[J];圖書館建設(shè);2009年12期

10 巫滿秀;;淺談網(wǎng)頁信息的保存技巧[J];福建電腦;2007年07期

相關(guān)博士學位論文 前4條

1 孫建濤;Web挖掘中的降維和分類方法研究[D];清華大學;2005年

2 宗校軍;中文網(wǎng)頁定題采集及分類研究[D];華中科技大學;2006年

3 徐晴陽;基于關(guān)系子群發(fā)現(xiàn)算法的聚焦爬行技術(shù)[D];吉林大學;2008年

4 張亞楠;基于用戶行為的信任感知推薦方法研究[D];哈爾濱工程大學;2014年

相關(guān)碩士學位論文 前10條

1 薛楠鳳;基于滲透測試的邏輯漏洞檢測技術(shù)研究[D];電子科技大學;2018年

2 周成陽;人物信息相關(guān)網(wǎng)頁過濾方法研究[D];電子科技大學;2018年

3 劉鵬程;結(jié)合塊密度和標簽路徑特征的網(wǎng)頁正文抽取方法研究[D];合肥工業(yè)大學;2017年

4 朱晶晶;大學生對招聘網(wǎng)頁顏色偏好的眼動研究[D];魯東大學;2017年

5 黃立;面向時空的移動搜索引擎研究與應(yīng)用[D];武漢理工大學;2015年

6 唐丹丹;基于會話搜索的網(wǎng)頁排序算法的研究與設(shè)計[D];南京大學;2017年

7 胡艷麗;英國五所高校網(wǎng)頁翻譯實踐報告[D];天津財經(jīng)大學;2017年

8 孟瑩;基于K-Means的垃圾網(wǎng)頁檢測算法研究[D];天津大學;2017年

9 李明銘;基于Hadoop的網(wǎng)絡(luò)聚焦爬蟲抓取策略和解析方法研究[D];武漢理工大學;2015年

10 張佳敏;利用網(wǎng)頁區(qū)域分割的聚焦爬蟲算法研究[D];華中科技大學;2016年

本文編號：2872812