本文關(guān)鍵詞：基于滲透測試的Web應(yīng)用漏洞檢測技術(shù)研究

  更多相關(guān)文章： Web應(yīng)用安全 滲透測試 業(yè)務(wù)邏輯 網(wǎng)絡(luò)爬蟲 漏洞檢測

【摘要】：Web應(yīng)用已經(jīng)融入了廣大網(wǎng)民的日常生活,它們使用方式便捷而且功能豐富。Web2.0的出現(xiàn),推動了互聯(lián)網(wǎng)又一次革命性發(fā)展。隨著Web2.0的發(fā)展,Web應(yīng)用的安全漏洞問題正在逐漸由傳統(tǒng)的安全技術(shù)漏洞向業(yè)務(wù)邏輯型漏洞轉(zhuǎn)變。Web應(yīng)用是一個業(yè)務(wù)邏輯較為復雜的系統(tǒng),其安全細節(jié)上的疏漏往往導致嚴重的安全問題,不僅影響用戶正常使用Web應(yīng)用,甚至可能損害用戶的個人利益。 目前存在的商業(yè)或開源Web應(yīng)用安全掃描工具已經(jīng)可以對Web應(yīng)用系統(tǒng)進行安全評估與漏洞檢測,能夠輔助滲透測試和系統(tǒng)維護人員顯著降低Web應(yīng)用系統(tǒng)的安全風險。但是這些掃描工具僅對于Web應(yīng)用傳統(tǒng)技術(shù)型安全漏洞有著很好的檢測效果,對于Web應(yīng)用業(yè)務(wù)邏輯漏洞沒有做到很好的覆蓋。而對Web應(yīng)用的業(yè)務(wù)邏輯漏洞目前采取的還是人工滲透測試的方式,不僅效率低下,而且難以投入到實際工程使用當中。 本文從滲透測試方向就Web應(yīng)用的漏洞檢測技術(shù)做了深入研究。試圖結(jié)合自動化掃描檢測系統(tǒng)工具和人工滲透測試的長處,提出既具備業(yè)務(wù)邏輯漏洞針對發(fā)掘能力,又具有較高發(fā)掘效率的Web應(yīng)用業(yè)務(wù)邏輯漏洞檢測解決方案。 圍繞著上述研究主題,本文主要展開了以下研究及相關(guān)工作內(nèi)容：調(diào)研了最新的Web應(yīng)用實現(xiàn)技術(shù)及其安全隱患,對國內(nèi)外的Web安全研究現(xiàn)狀做了詳盡了解；針對Web應(yīng)用的業(yè)務(wù)邏輯功能進行了大量的實際滲透測試,對業(yè)務(wù)邏輯漏洞形成的原因和檢測方法進行了總結(jié),并對部分檢測方法進行了改進；對網(wǎng)絡(luò)爬蟲的實現(xiàn)技術(shù)做了仔細研究,設(shè)計實現(xiàn)了針對Web應(yīng)用漏洞檢測的網(wǎng)絡(luò)爬蟲,以更好的輔助漏洞檢測研究工作的進行；在上述研究的基礎(chǔ)上,根據(jù)各種Web應(yīng)用業(yè)務(wù)邏輯漏洞的檢測方法,使用腳本語言開發(fā)了各種漏洞的檢測工具；為了方便用戶的使用,在研究了基于Web應(yīng)用框架的開發(fā)技術(shù)之后,將之前開發(fā)出的漏洞檢測工具以插件的形式集成為一個Web應(yīng)用漏洞檢測系統(tǒng)。 本文主要的創(chuàng)新之處在于結(jié)合了Web應(yīng)用漏洞掃描與人工滲透測試的優(yōu)勢,將自動化漏洞檢測和Web應(yīng)用功能分析技術(shù)運用到Web應(yīng)用業(yè)務(wù)邏輯漏洞的檢測當中。同時對面向漏洞檢測的網(wǎng)絡(luò)爬蟲進行改進,在Web應(yīng)用鏈接爬取的基礎(chǔ)上增加了頁面內(nèi)容分析匹配功能,通過分析進一步探明漏洞檢測的切入點。 為了驗證檢測系統(tǒng)的可用性,本文最后對漏洞檢測系統(tǒng)的進行了實際測試。在對測試結(jié)果做了分析的基礎(chǔ)上,肯定了系統(tǒng)的可用性和工作效率。
【關(guān)鍵詞】：Web應(yīng)用安全 滲透測試 業(yè)務(wù)邏輯 網(wǎng)絡(luò)爬蟲 漏洞檢測
【學位授予單位】：北京郵電大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要4-6
• ABSTRACT6-9
• 目錄9-11
• 第一章 緒論11-15
• 1.1 研究背景11-13
• 1.1.1 Web應(yīng)用仍面臨嚴峻安全威脅11
• 1.1.2 Web應(yīng)用安全漏洞的轉(zhuǎn)變11-12
• 1.1.3 現(xiàn)有解決方案的不足12-13
• 1.2 研究內(nèi)容13
• 1.3 論文章節(jié)安排13-15
• 第二章 Web應(yīng)用安全概述15-26
• 2.1 Web應(yīng)用的實現(xiàn)機制15-18
• 2.1.1 HTTP協(xié)議15-16
• 2.1.2 Web功能16-17
• 2.1.3 編碼方案17-18
• 2.2 Web應(yīng)用的發(fā)展和安全18-19
• 2.2.1 Web應(yīng)用的發(fā)展18
• 2.2.2 Web應(yīng)用的安全18-19
• 2.3 滲透測試技術(shù)19-20
• 2.4 絡(luò)爬蟲技術(shù)20-23
• 2.4.1 網(wǎng)絡(luò)爬蟲基本原理20-21
• 2.4.2 網(wǎng)絡(luò)爬蟲的模型21-23
• 2.5 滲透測試輔助工具23-25
• 2.5.1 Burp Suite23-24
• 2.5.2 Fiddler24-25
• 2.5.3 Firebug25
• 2.6 本章小結(jié)25-26
• 第三章 Web應(yīng)用業(yè)務(wù)邏輯漏洞及其檢測技術(shù)研究26-52
• 3.1 業(yè)務(wù)邏輯漏洞的滲透測試26-39
• 3.1.1 欺騙密碼找回漏洞26-29
• 3.1.2 規(guī)避交易限制漏洞29-34
• 3.1.3 越權(quán)缺陷漏洞34-39
• 3.2 業(yè)務(wù)邏輯漏洞的檢測方法研究39-43
• 3.2.1 欺騙密碼找回漏洞的檢測方法39-40
• 3.2.2 規(guī)避交易限制漏洞的檢測方法40-41
• 3.2.3 越權(quán)缺陷漏洞的檢測方法41-43
• 3.3 業(yè)務(wù)邏輯漏洞自動化檢測實現(xiàn)43-51
• 3.3.1 面向漏洞檢測的網(wǎng)絡(luò)爬蟲技術(shù)研究44-45
• 3.3.2 業(yè)務(wù)邏輯漏洞自動化檢測方案45-51
• 3.4 本章小結(jié)51-52
• 第四章 Web應(yīng)用業(yè)務(wù)邏輯漏洞檢測系統(tǒng)的設(shè)計與實現(xiàn)52-68
• 4.1 系統(tǒng)設(shè)計目標52-53
• 4.2 系統(tǒng)整體概況53-55
• 4.2.1 系統(tǒng)的架構(gòu)53-54
• 4.2.2 模塊的劃分54
• 4.2.3 整體的結(jié)構(gòu)54-55
• 4.3 系統(tǒng)開發(fā)環(huán)境55-56
• 4.4 插件模式設(shè)計56-58
• 4.5 網(wǎng)絡(luò)爬蟲模塊58-62
• 4.5.1 Scrapy框架58-61
• 4.5.2 特定功能實現(xiàn)61-62
• 4.6 管理控制模塊62-63
• 4.7 數(shù)據(jù)庫設(shè)計63-64
• 4.7.1 網(wǎng)絡(luò)爬蟲的數(shù)據(jù)庫設(shè)計63-64
• 4.7.2 漏洞插件模塊的數(shù)據(jù)庫設(shè)計64
• 4.8 使用界面設(shè)計64-67
• 4.9 本章小結(jié)67-68
• 第五章 測試與分析68-78
• 5.1 測試的目標68
• 5.2 軟硬件測試環(huán)境68-69
• 5.3 測試結(jié)果及其分析69-77
• 5.3.1 用性測試及其分析69-74
• 5.3.2 檢測效率測試及其分析74-77
• 5.4 本章小結(jié)77-78
• 第六章 總結(jié)與展望78-80
• 6.1 工作總結(jié)78
• 6.2 工作展望78-80
• 參考文獻80-82
• 致謝82-83
• 攻讀碩士學位期間發(fā)表的學術(shù)論文目錄83

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前3條

1 索亮;;對主流掃描工具漏洞檢測能力的測試與分析[J];信息安全與技術(shù);2010年06期

2 劉志樂;;Web2.0應(yīng)用安全深入解析[J];電信網(wǎng)技術(shù);2012年03期

3 李云云;;淺析B/S和C/S體系結(jié)構(gòu)[J];科學之友;2011年01期

，

本文編號：995190