Web應用業(yè)務邏輯漏洞檢測技術(shù)研究.pdf

1、隨著Web應用不斷深入到人們工作和生活中，Web應用安全問題日益嚴峻，新的攻擊手段層出不窮，特別是針對Web應用業(yè)務邏輯漏洞的攻擊時有發(fā)生，如攻擊者根據(jù)在線購物支付漏洞可以任意修改支付金額。然而，現(xiàn)有的Web應用漏洞掃描工具只能對非業(yè)務邏輯如SQL注入等常見漏洞進行檢測，業(yè)務邏輯漏洞只能靠人工檢測，準確率較高但是效率極其低下。為了解決該問題，本文對密碼找回漏洞、在線購物支付漏洞以及業(yè)務接口調(diào)用安全漏洞等三種類型的Web應用業(yè)務邏輯漏洞進

2、行研究，結(jié)合工具自動化檢測和人工滲透測試的長處，使用Python開發(fā)了一個Web應用業(yè)務邏輯漏洞檢測系統(tǒng)。本文的主要工作如下:
　　(1)分析了Web應用安全的嚴峻形勢以及國內(nèi)外研究現(xiàn)狀，包括Web應用安全從傳統(tǒng)Web應用漏洞到Web應用業(yè)務邏輯漏洞的轉(zhuǎn)變;
　　(2)對檢測Web應用漏洞過程中使用的滲透測試技術(shù)進行了論述，并對滲透測試過程中使用的主流的抓包和編碼轉(zhuǎn)換等輔助工具進行說明，介紹了系統(tǒng)的開發(fā)語言和開發(fā)環(huán)境以及系統(tǒng)

3、整體結(jié)構(gòu);
　　(3)針對密碼找回漏洞、在線購物支付漏洞以及業(yè)務接口調(diào)用安全漏洞等Web應用業(yè)務邏輯漏洞進行了大量的滲透測試，并在此基礎(chǔ)上分析漏洞利用原理，總結(jié)出漏洞測試的一般性方法，對業(yè)務邏輯漏洞的檢測方法進行研究;
　　(4)解決了網(wǎng)絡爬蟲的兩個核心問題:URL提取和核心算法的選擇，實現(xiàn)了基于網(wǎng)絡爬蟲的密碼找回漏洞、在線購物支付漏洞以及業(yè)務接口調(diào)用安全漏洞的自動化檢測;
　　(5)在系統(tǒng)需求分析和設(shè)計的基礎(chǔ)上開發(fā)了