基于渗透测试的Web应用漏洞检测技术研究
发布时间:2017-10-08 17:02
本文关键词:基于渗透测试的Web应用漏洞检测技术研究
更多相关文章: Web应用安全 渗透测试 业务逻辑 网络爬虫 漏洞检测
【摘要】:Web应用已经融入了广大网民的日常生活,它们使用方式便捷而且功能丰富。Web2.0的出现,推动了互联网又一次革命性发展。随着Web2.0的发展,Web应用的安全漏洞问题正在逐渐由传统的安全技术漏洞向业务逻辑型漏洞转变。Web应用是一个业务逻辑较为复杂的系统,其安全细节上的疏漏往往导致严重的安全问题,不仅影响用户正常使用Web应用,甚至可能损害用户的个人利益。 目前存在的商业或开源Web应用安全扫描工具已经可以对Web应用系统进行安全评估与漏洞检测,能够辅助渗透测试和系统维护人员显著降低Web应用系统的安全风险。但是这些扫描工具仅对于Web应用传统技术型安全漏洞有着很好的检测效果,对于Web应用业务逻辑漏洞没有做到很好的覆盖。而对Web应用的业务逻辑漏洞目前采取的还是人工渗透测试的方式,不仅效率低下,而且难以投入到实际工程使用当中。 本文从渗透测试方向就Web应用的漏洞检测技术做了深入研究。试图结合自动化扫描检测系统工具和人工渗透测试的长处,提出既具备业务逻辑漏洞针对发掘能力,又具有较高发掘效率的Web应用业务逻辑漏洞检测解决方案。 围绕着上述研究主题,本文主要展开了以下研究及相关工作内容:调研了最新的Web应用实现技术及其安全隐患,对国内外的Web安全研究现状做了详尽了解;针对Web应用的业务逻辑功能进行了大量的实际渗透测试,对业务逻辑漏洞形成的原因和检测方法进行了总结,并对部分检测方法进行了改进;对网络爬虫的实现技术做了仔细研究,设计实现了针对Web应用漏洞检测的网络爬虫,以更好的辅助漏洞检测研究工作的进行;在上述研究的基础上,根据各种Web应用业务逻辑漏洞的检测方法,使用脚本语言开发了各种漏洞的检测工具;为了方便用户的使用,在研究了基于Web应用框架的开发技术之后,将之前开发出的漏洞检测工具以插件的形式集成为一个Web应用漏洞检测系统。 本文主要的创新之处在于结合了Web应用漏洞扫描与人工渗透测试的优势,将自动化漏洞检测和Web应用功能分析技术运用到Web应用业务逻辑漏洞的检测当中。同时对面向漏洞检测的网络爬虫进行改进,在Web应用链接爬取的基础上增加了页面内容分析匹配功能,通过分析进一步探明漏洞检测的切入点。 为了验证检测系统的可用性,本文最后对漏洞检测系统的进行了实际测试。在对测试结果做了分析的基础上,肯定了系统的可用性和工作效率。
【关键词】:Web应用安全 渗透测试 业务逻辑 网络爬虫 漏洞检测
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
- 摘要4-6
- ABSTRACT6-9
- 目录9-11
- 第一章 绪论11-15
- 1.1 研究背景11-13
- 1.1.1 Web应用仍面临严峻安全威胁11
- 1.1.2 Web应用安全漏洞的转变11-12
- 1.1.3 现有解决方案的不足12-13
- 1.2 研究内容13
- 1.3 论文章节安排13-15
- 第二章 Web应用安全概述15-26
- 2.1 Web应用的实现机制15-18
- 2.1.1 HTTP协议15-16
- 2.1.2 Web功能16-17
- 2.1.3 编码方案17-18
- 2.2 Web应用的发展和安全18-19
- 2.2.1 Web应用的发展18
- 2.2.2 Web应用的安全18-19
- 2.3 渗透测试技术19-20
- 2.4 络爬虫技术20-23
- 2.4.1 网络爬虫基本原理20-21
- 2.4.2 网络爬虫的模型21-23
- 2.5 渗透测试辅助工具23-25
- 2.5.1 Burp Suite23-24
- 2.5.2 Fiddler24-25
- 2.5.3 Firebug25
- 2.6 本章小结25-26
- 第三章 Web应用业务逻辑漏洞及其检测技术研究26-52
- 3.1 业务逻辑漏洞的渗透测试26-39
- 3.1.1 欺骗密码找回漏洞26-29
- 3.1.2 规避交易限制漏洞29-34
- 3.1.3 越权缺陷漏洞34-39
- 3.2 业务逻辑漏洞的检测方法研究39-43
- 3.2.1 欺骗密码找回漏洞的检测方法39-40
- 3.2.2 规避交易限制漏洞的检测方法40-41
- 3.2.3 越权缺陷漏洞的检测方法41-43
- 3.3 业务逻辑漏洞自动化检测实现43-51
- 3.3.1 面向漏洞检测的网络爬虫技术研究44-45
- 3.3.2 业务逻辑漏洞自动化检测方案45-51
- 3.4 本章小结51-52
- 第四章 Web应用业务逻辑漏洞检测系统的设计与实现52-68
- 4.1 系统设计目标52-53
- 4.2 系统整体概况53-55
- 4.2.1 系统的架构53-54
- 4.2.2 模块的划分54
- 4.2.3 整体的结构54-55
- 4.3 系统开发环境55-56
- 4.4 插件模式设计56-58
- 4.5 网络爬虫模块58-62
- 4.5.1 Scrapy框架58-61
- 4.5.2 特定功能实现61-62
- 4.6 管理控制模块62-63
- 4.7 数据库设计63-64
- 4.7.1 网络爬虫的数据库设计63-64
- 4.7.2 漏洞插件模块的数据库设计64
- 4.8 使用界面设计64-67
- 4.9 本章小结67-68
- 第五章 测试与分析68-78
- 5.1 测试的目标68
- 5.2 软硬件测试环境68-69
- 5.3 测试结果及其分析69-77
- 5.3.1 用性测试及其分析69-74
- 5.3.2 检测效率测试及其分析74-77
- 5.4 本章小结77-78
- 第六章 总结与展望78-80
- 6.1 工作总结78
- 6.2 工作展望78-80
- 参考文献80-82
- 致谢82-83
- 攻读硕士学位期间发表的学术论文目录83
【参考文献】
中国期刊全文数据库 前3条
1 索亮;;对主流扫描工具漏洞检测能力的测试与分析[J];信息安全与技术;2010年06期
2 刘志乐;;Web2.0应用安全深入解析[J];电信网技术;2012年03期
3 李云云;;浅析B/S和C/S体系结构[J];科学之友;2011年01期
,本文编号:995190
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/995190.html