發(fā)布時(shí)間：2020-11-06 07:02

　　 web邏輯漏洞是近幾年出現(xiàn)的一種新型漏洞,與傳統(tǒng)的sql注入、跨站腳本攻擊、文件包含等漏洞不同。這種漏洞是人的思維邏輯出現(xiàn)錯(cuò)誤,一般是通過(guò)利用業(yè)務(wù)流程和HTTP/HTTPS請(qǐng)求篡改,找到關(guān)鍵點(diǎn)后往往不用構(gòu)造惡意的請(qǐng)求即可完成攻擊,很容易繞開(kāi)各種安全防護(hù)手段。而且對(duì)于邏輯漏洞的攻擊方法并沒(méi)有固定的模式,所以很難使用常規(guī)的漏洞檢測(cè)工具檢測(cè)出來(lái)。密碼找回、交易篡改和越權(quán)缺陷是最主流的三種邏輯漏洞,黑客利用這些漏洞能夠輕易地繞過(guò)身份認(rèn)證機(jī)制、修改交易金額、竊取他人信息,對(duì)企業(yè)和個(gè)人造成很大的危害。雖然邏輯漏洞已經(jīng)被黑客多次利用,但邏輯漏洞的檢測(cè)方法還是靠人工檢測(cè),準(zhǔn)確率高但是效率極低。因?yàn)樗�是一種邏輯上的設(shè)計(jì)缺陷,業(yè)務(wù)流存在問(wèn)題,這種類型的漏洞不僅限于網(wǎng)絡(luò)層、系統(tǒng)層、代碼層等,而且能夠逃逸各種網(wǎng)絡(luò)層、應(yīng)用層的防護(hù)設(shè)備,迄今為止缺少針對(duì)性的自動(dòng)化檢測(cè)工具。為了緩解這些問(wèn)題,本文提出一種可擴(kuò)展的的自動(dòng)化邏輯漏洞檢測(cè)的解決方案。以下是本文的主要工作內(nèi)容:(1)關(guān)鍵技術(shù)和問(wèn)題研究。研究了傳統(tǒng)的人工滲透測(cè)試方法并改進(jìn),使其適用于實(shí)現(xiàn)自動(dòng)化檢測(cè);使用滲透測(cè)試,網(wǎng)絡(luò)爬蟲(chóng),網(wǎng)頁(yè)信息提取,url去重等技術(shù);設(shè)計(jì)一個(gè)解決方案實(shí)現(xiàn)對(duì)密碼找回、交易篡改和越權(quán)缺陷三種常見(jiàn)邏輯漏洞的自動(dòng)化檢測(cè)。(2)系統(tǒng)設(shè)計(jì)。應(yīng)用設(shè)計(jì)的解決方案,實(shí)現(xiàn)自動(dòng)化的邏輯漏洞檢測(cè)系統(tǒng)。擬定系統(tǒng)主要分成用戶界面、管理控制模塊、網(wǎng)頁(yè)采集模塊、漏洞檢測(cè)模塊以及檢測(cè)報(bào)告模塊。然后完成系統(tǒng)設(shè)計(jì)。(3)測(cè)試及分析。選取多個(gè)web應(yīng)用程序進(jìn)行測(cè)試,并生成檢測(cè)報(bào)告。通過(guò)與人工滲透測(cè)試的方法進(jìn)行對(duì)比,實(shí)現(xiàn)了邏輯漏洞自動(dòng)化檢測(cè),提高了邏輯漏洞檢測(cè)的效率。
【學(xué)位單位】：電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位年份】：2018
【中圖分類】：TP393.08
【部分圖文】：

經(jīng)過(guò)長(zhǎng)期的監(jiān)測(cè)，有一些有趣的發(fā)現(xiàn)：如果黑客在進(jìn)行代碼執(zhí)成本過(guò)大，那么他們就會(huì)選擇另外一種思路，利用程序員的設(shè)，這就是 web 業(yè)務(wù)邏輯漏洞。這種發(fā)現(xiàn)表明：邏輯漏洞目前并且較傳統(tǒng)的漏洞更隱蔽，值得我們關(guān)注。洞不同于傳統(tǒng)的漏洞，它可能出現(xiàn)在 web 應(yīng)用程序的系統(tǒng)層。另外，它屬于 web 業(yè)務(wù)的邏輯設(shè)計(jì)問(wèn)題，有很大的不可預(yù)的普及，網(wǎng)站存了非常多的用戶信息，如身份證號(hào)碼、手機(jī)號(hào)個(gè)人信息對(duì)黑客的價(jià)值很大，所以很受黑客的關(guān)注。年初發(fā)布的 2017 年全年中國(guó)網(wǎng)站安全形勢(shì)分析報(bào)告中，補(bǔ)天平計(jì)接收到 22706 個(gè)網(wǎng)站安全漏洞，涉及范圍極廣，共涉及 143 月份收錄的網(wǎng)站漏洞數(shù)量最多，為 3338 個(gè)。對(duì)全年的網(wǎng)站析，占比最多的為 32.1%是 sql 注入漏洞，其次是占比分別為令執(zhí)行和信息泄露漏洞。占比較大的還有弱口令為 10.2%以及具體漏洞類型分布請(qǐng)見(jiàn)圖 1-1。邏輯漏洞包含圖表中的信息泄類型的漏洞。

以隨意修改合法用戶密碼，獲得用戶權(quán)限。的漏洞不同，web 業(yè)務(wù)邏輯漏洞一般有如下危害：、登陸、搶紅包及修改訂單等業(yè)務(wù)場(chǎng)景中存在大量潛在的業(yè)利用，將使用戶或者商家的利益受損。提供的優(yōu)惠券或者代金券業(yè)務(wù)有漏洞，遭黑盒利用被重復(fù)使在網(wǎng)站平臺(tái)會(huì)有一些余額，像這樣的存在價(jià)值的用戶，黑客。已發(fā)現(xiàn)的邏輯漏洞，配合傳統(tǒng)漏洞利用方式，產(chǎn)生更嚴(yán)重的種漏洞相當(dāng)?shù)膰?yán)重，但是目前業(yè)界卻沒(méi)有一款專門針對(duì)這種類描工具，因?yàn)槌绦螂y以直接模仿程序員的思維邏輯，除非把思誤檢測(cè)工具，但這樣是完全不通用的。對(duì)于邏輯漏洞的挖掘仍工滲透測(cè)試的方法，這種方法雖然準(zhǔn)確性較高，但是效率極低化。有安全團(tuán)隊(duì)匯總了 2017 年測(cè)試 10000 款應(yīng)用的業(yè)務(wù)邏輯漏試檢測(cè)出的漏洞占所有漏洞的 65.3%，代碼審計(jì)檢測(cè)出的漏用安全掃描檢測(cè)出的漏洞占比 5.2%，分布詳情如圖 1-2。

測(cè)試的最佳選擇�；液袦y(cè)試與外部測(cè)試的流程也大致相似。2.2.3 滲透測(cè)試輔助工具本小節(jié)介紹兩款滲透測(cè)試自動(dòng)化輔助工具。在進(jìn)行人工滲透測(cè)試時(shí)，這兩款工具被用來(lái)幫助人們完成一些網(wǎng)頁(yè)攔截、網(wǎng)頁(yè)修改、發(fā)送 HTTP 請(qǐng)求、暴力破解弱密碼等操作。2.2.3.1 BurpsuitBurpsuit 是 web 漏洞檢測(cè)最受歡迎的工具之一。其多中功能可以幫助人們執(zhí)行各種任務(wù)。如 HTTP 請(qǐng)求的攔截和修改、弱密碼暴力破解、網(wǎng)絡(luò)結(jié)構(gòu)采集等等。對(duì)于抓取網(wǎng)站內(nèi)容 burpsuit 相當(dāng)靈活，可以根據(jù)用戶訪問(wèn)的鏈接動(dòng)態(tài)設(shè)置網(wǎng)頁(yè)抓取的范圍。其主要的功能模塊有 proxy、spider、scanner、intruder、repeater、sequencer等功能，本文主要用到該軟件的代理功能和 intruder 功能。本文需要用到 Burpsuit的代理功能，默認(rèn)端口是 8080。即作為一個(gè)攔截 HTTP/HTTPs 的代理服務(wù)器，作為一個(gè)在 B/S 之間的中間人。如圖 2-4 是代理功能攔截的數(shù)據(jù)包。
【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 耿磊;;起步階段的網(wǎng)頁(yè)信息資源長(zhǎng)期保存[J];上海檔案;2012年02期

2 陳建平;;高校重要網(wǎng)頁(yè)信息采集歸檔實(shí)踐探析[J];浙江檔案;2017年09期

3 楊金弓;趙璐;郭森;;《網(wǎng)頁(yè)信息展示》[J];美苑;2015年S2期

4 趙陽(yáng);;高校網(wǎng)頁(yè)翻譯特點(diǎn)、難點(diǎn)及英譯經(jīng)驗(yàn)總結(jié)[J];校園英語(yǔ);2017年12期

5 王彥焱;李文超;;分類加權(quán)的TF-IDF的網(wǎng)頁(yè)分類算法[J];數(shù)碼世界;2017年07期

6 程倩楠;譚龍;李浩飛;;面向BIU的網(wǎng)頁(yè)解析[J];科學(xué)中國(guó)人;2017年23期

7 李培豐;;基于“控制字符”網(wǎng)頁(yè)信息的隱藏技術(shù)[J];福建電腦;2014年06期

8 周慶;;知識(shí)管理背景下網(wǎng)頁(yè)信息檔案化管理的思考[J];蘭臺(tái)世界;2011年15期

9 安琳;;國(guó)外網(wǎng)頁(yè)信息存檔項(xiàng)目及相關(guān)問(wèn)題研究[J];圖書(shū)館建設(shè);2009年12期

10 巫滿秀;;淺談網(wǎng)頁(yè)信息的保存技巧[J];福建電腦;2007年07期

相關(guān)博士學(xué)位論文 前4條

1 孫建濤;Web挖掘中的降維和分類方法研究[D];清華大學(xué);2005年

2 宗校軍;中文網(wǎng)頁(yè)定題采集及分類研究[D];華中科技大學(xué);2006年

3 徐晴陽(yáng);基于關(guān)系子群發(fā)現(xiàn)算法的聚焦爬行技術(shù)[D];吉林大學(xué);2008年

4 張亞楠;基于用戶行為的信任感知推薦方法研究[D];哈爾濱工程大學(xué);2014年

相關(guān)碩士學(xué)位論文 前10條

1 薛楠鳳;基于滲透測(cè)試的邏輯漏洞檢測(cè)技術(shù)研究[D];電子科技大學(xué);2018年

2 周成陽(yáng);人物信息相關(guān)網(wǎng)頁(yè)過(guò)濾方法研究[D];電子科技大學(xué);2018年

3 劉鵬程;結(jié)合塊密度和標(biāo)簽路徑特征的網(wǎng)頁(yè)正文抽取方法研究[D];合肥工業(yè)大學(xué);2017年

4 朱晶晶;大學(xué)生對(duì)招聘網(wǎng)頁(yè)顏色偏好的眼動(dòng)研究[D];魯東大學(xué);2017年

5 黃立;面向時(shí)空的移動(dòng)搜索引擎研究與應(yīng)用[D];武漢理工大學(xué);2015年

6 唐丹丹;基于會(huì)話搜索的網(wǎng)頁(yè)排序算法的研究與設(shè)計(jì)[D];南京大學(xué);2017年

7 胡艷麗;英國(guó)五所高校網(wǎng)頁(yè)翻譯實(shí)踐報(bào)告[D];天津財(cái)經(jīng)大學(xué);2017年

8 孟瑩;基于K-Means的垃圾網(wǎng)頁(yè)檢測(cè)算法研究[D];天津大學(xué);2017年

9 李明銘;基于Hadoop的網(wǎng)絡(luò)聚焦爬蟲(chóng)抓取策略和解析方法研究[D];武漢理工大學(xué);2015年

10 張佳敏;利用網(wǎng)頁(yè)區(qū)域分割的聚焦爬蟲(chóng)算法研究[D];華中科技大學(xué);2016年

本文編號(hào)：2872812