基于渗透测试的逻辑漏洞检测技术研究

发布时间：2020-11-06 07:02

　　 web逻辑漏洞是近几年出现的一种新型漏洞,与传统的sql注入、跨站脚本攻击、文件包含等漏洞不同。这种漏洞是人的思维逻辑出现错误,一般是通过利用业务流程和HTTP/HTTPS请求篡改,找到关键点后往往不用构造恶意的请求即可完成攻击,很容易绕开各种安全防护手段。而且对于逻辑漏洞的攻击方法并没有固定的模式,所以很难使用常规的漏洞检测工具检测出来。密码找回、交易篡改和越权缺陷是最主流的三种逻辑漏洞,黑客利用这些漏洞能够轻易地绕过身份认证机制、修改交易金额、窃取他人信息,对企业和个人造成很大的危害。虽然逻辑漏洞已经被黑客多次利用,但逻辑漏洞的检测方法还是靠人工检测,准确率高但是效率极低。因为它是一种逻辑上的设计缺陷,业务流存在问题,这种类型的漏洞不仅限于网络层、系统层、代码层等,而且能够逃逸各种网络层、应用层的防护设备,迄今为止缺少针对性的自动化检测工具。为了缓解这些问题,本文提出一种可扩展的的自动化逻辑漏洞检测的解决方案。以下是本文的主要工作内容:(1)关键技术和问题研究。研究了传统的人工渗透测试方法并改进,使其适用于实现自动化检测;使用渗透测试,网络爬虫,网页信息提取,url去重等技术;设计一个解决方案实现对密码找回、交易篡改和越权缺陷三种常见逻辑漏洞的自动化检测。(2)系统设计。应用设计的解决方案,实现自动化的逻辑漏洞检测系统。拟定系统主要分成用户界面、管理控制模块、网页采集模块、漏洞检测模块以及检测报告模块。然后完成系统设计。(3)测试及分析。选取多个web应用程序进行测试,并生成检测报告。通过与人工渗透测试的方法进行对比,实现了逻辑漏洞自动化检测,提高了逻辑漏洞检测的效率。
【学位单位】：电子科技大学
【学位级别】：硕士
【学位年份】：2018
【中图分类】：TP393.08
【部分图文】：

经过长期的监测，有一些有趣的发现：如果黑客在进行代码执成本过大，那么他们就会选择另外一种思路，利用程序员的设，这就是 web 业务逻辑漏洞。这种发现表明：逻辑漏洞目前并且较传统的漏洞更隐蔽，值得我们关注。洞不同于传统的漏洞，它可能出现在 web 应用程序的系统层。另外，它属于 web 业务的逻辑设计问题，有很大的不可预的普及，网站存了非常多的用户信息，如身份证号码、手机号个人信息对黑客的价值很大，所以很受黑客的关注。年初发布的 2017 年全年中国网站安全形势分析报告中，补天平计接收到 22706 个网站安全漏洞，涉及范围极广，共涉及 143 月份收录的网站漏洞数量最多，为 3338 个。对全年的网站析，占比最多的为 32.1%是 sql 注入漏洞，其次是占比分别为令执行和信息泄露漏洞。占比较大的还有弱口令为 10.2%以及具体漏洞类型分布请见图 1-1。逻辑漏洞包含图表中的信息泄类型的漏洞。

以随意修改合法用户密码，获得用户权限。的漏洞不同，web 业务逻辑漏洞一般有如下危害：、登陆、抢红包及修改订单等业务场景中存在大量潜在的业利用，将使用户或者商家的利益受损。提供的优惠券或者代金券业务有漏洞，遭黑盒利用被重复使在网站平台会有一些余额，像这样的存在价值的用户，黑客。已发现的逻辑漏洞，配合传统漏洞利用方式，产生更严重的种漏洞相当的严重，但是目前业界却没有一款专门针对这种类描工具，因为程序难以直接模仿程序员的思维逻辑，除非把思误检测工具，但这样是完全不通用的。对于逻辑漏洞的挖掘仍工渗透测试的方法，这种方法虽然准确性较高，但是效率极低化。有安全团队汇总了 2017 年测试 10000 款应用的业务逻辑漏试检测出的漏洞占所有漏洞的 65.3%，代码审计检测出的漏用安全扫描检测出的漏洞占比 5.2%，分布详情如图 1-2。

测试的最佳选择。灰盒测试与外部测试的流程也大致相似。2.2.3 渗透测试辅助工具本小节介绍两款渗透测试自动化辅助工具。在进行人工渗透测试时，这两款工具被用来帮助人们完成一些网页拦截、网页修改、发送 HTTP 请求、暴力破解弱密码等操作。2.2.3.1 BurpsuitBurpsuit 是 web 漏洞检测最受欢迎的工具之一。其多中功能可以帮助人们执行各种任务。如 HTTP 请求的拦截和修改、弱密码暴力破解、网络结构采集等等。对于抓取网站内容 burpsuit 相当灵活，可以根据用户访问的链接动态设置网页抓取的范围。其主要的功能模块有 proxy、spider、scanner、intruder、repeater、sequencer等功能，本文主要用到该软件的代理功能和 intruder 功能。本文需要用到 Burpsuit的代理功能，默认端口是 8080。即作为一个拦截 HTTP/HTTPs 的代理服务器，作为一个在 B/S 之间的中间人。如图 2-4 是代理功能拦截的数据包。
【相似文献】

相关期刊论文 前10条

1 耿磊;;起步阶段的网页信息资源长期保存[J];上海档案;2012年02期

2 陈建平;;高校重要网页信息采集归档实践探析[J];浙江档案;2017年09期

3 杨金弓;赵璐;郭森;;《网页信息展示》[J];美苑;2015年S2期

4 赵阳;;高校网页翻译特点、难点及英译经验总结[J];校园英语;2017年12期

5 王彦焱;李文超;;分类加权的TF-IDF的网页分类算法[J];数码世界;2017年07期

6 程倩楠;谭龙;李浩飞;;面向BIU的网页解析[J];科学中国人;2017年23期

7 李培丰;;基于“控制字符”网页信息的隐藏技术[J];福建电脑;2014年06期

8 周庆;;知识管理背景下网页信息档案化管理的思考[J];兰台世界;2011年15期

9 安琳;;国外网页信息存档项目及相关问题研究[J];图书馆建设;2009年12期

10 巫满秀;;浅谈网页信息的保存技巧[J];福建电脑;2007年07期

相关博士学位论文 前4条

1 孙建涛;Web挖掘中的降维和分类方法研究[D];清华大学;2005年

2 宗校军;中文网页定题采集及分类研究[D];华中科技大学;2006年

3 徐晴阳;基于关系子群发现算法的聚焦爬行技术[D];吉林大学;2008年

4 张亚楠;基于用户行为的信任感知推荐方法研究[D];哈尔滨工程大学;2014年

相关硕士学位论文 前10条

1 薛楠凤;基于渗透测试的逻辑漏洞检测技术研究[D];电子科技大学;2018年

2 周成阳;人物信息相关网页过滤方法研究[D];电子科技大学;2018年

3 刘鹏程;结合块密度和标签路径特征的网页正文抽取方法研究[D];合肥工业大学;2017年

4 朱晶晶;大学生对招聘网页颜色偏好的眼动研究[D];鲁东大学;2017年

5 黄立;面向时空的移动搜索引擎研究与应用[D];武汉理工大学;2015年

6 唐丹丹;基于会话搜索的网页排序算法的研究与设计[D];南京大学;2017年

7 胡艳丽;英国五所高校网页翻译实践报告[D];天津财经大学;2017年

8 孟莹;基于K-Means的垃圾网页检测算法研究[D];天津大学;2017年

9 李明铭;基于Hadoop的网络聚焦爬虫抓取策略和解析方法研究[D];武汉理工大学;2015年

10 张佳敏;利用网页区域分割的聚焦爬虫算法研究[D];华中科技大学;2016年

本文编号：2872812