论文部分内容阅读
Web应用已经融入了广大网民的日常生活,它们使用方式便捷而且功能丰富。Web2.0的出现,推动了互联网又一次革命性发展。随着Web2.0的发展,Web应用的安全漏洞问题正在逐渐由传统的安全技术漏洞向业务逻辑型漏洞转变。Web应用是一个业务逻辑较为复杂的系统,其安全细节上的疏漏往往导致严重的安全问题,不仅影响用户正常使用Web应用,甚至可能损害用户的个人利益。目前存在的商业或开源Web应用安全扫描工具已经可以对Web应用系统进行安全评估与漏洞检测,能够辅助渗透测试和系统维护人员显著降低Web应用系统的安全风险。但是这些扫描工具仅对于Web应用传统技术型安全漏洞有着很好的检测效果,对于Web应用业务逻辑漏洞没有做到很好的覆盖。而对Web应用的业务逻辑漏洞目前采取的还是人工渗透测试的方式,不仅效率低下,而且难以投入到实际工程使用当中。本文从渗透测试方向就Web应用的漏洞检测技术做了深入研究。试图结合自动化扫描检测系统工具和人工渗透测试的长处,提出既具备业务逻辑漏洞针对发掘能力,又具有较高发掘效率的Web应用业务逻辑漏洞检测解决方案。围绕着上述研究主题,本文主要展开了以下研究及相关工作内容:调研了最新的Web应用实现技术及其安全隐患,对国内外的Web安全研究现状做了详尽了解;针对Web应用的业务逻辑功能进行了大量的实际渗透测试,对业务逻辑漏洞形成的原因和检测方法进行了总结,并对部分检测方法进行了改进;对网络爬虫的实现技术做了仔细研究,设计实现了针对Web应用漏洞检测的网络爬虫,以更好的辅助漏洞检测研究工作的进行;在上述研究的基础上,根据各种Web应用业务逻辑漏洞的检测方法,使用脚本语言开发了各种漏洞的检测工具;为了方便用户的使用,在研究了基于Web应用框架的开发技术之后,将之前开发出的漏洞检测工具以插件的形式集成为一个Web应用漏洞检测系统。本文主要的创新之处在于结合了Web应用漏洞扫描与人工渗透测试的优势,将自动化漏洞检测和Web应用功能分析技术运用到Web应用业务逻辑漏洞的检测当中。同时对面向漏洞检测的网络爬虫进行改进,在Web应用链接爬取的基础上增加了页面内容分析匹配功能,通过分析进一步探明漏洞检测的切入点。为了验证检测系统的可用性,本文最后对漏洞检测系统的进行了实际测试。在对测试结果做了分析的基础上,肯定了系统的可用性和工作效率。