【技术实现步骤摘要】
一种基于有限状态机的网站逻辑漏洞检测方法及系统
[0001]本专利技术涉及信息安全领域,尤其涉及一种基于有限状态机的网站逻辑漏洞检测方法及系统。
技术介绍
[0002]随着Web安全技术的不断发展,传统的注入类安全问题已经得到了广泛而深入的研究,目前无论是学术界还是工业界,针对该类安全缺陷均已有了比较成熟的解决方案。随着传统漏洞利用过程技术成本的不断增加,越来越多的攻击者将目光转向Web逻辑漏洞的攻击和利用。Web业务逻辑漏洞主要由于程序开发人员在编写Web程序时,由于未对用户输入进行严格校验,或将某些安全验证行为完全寄托在用户不可见性上,即可导致Web逻辑漏洞的发生。在实际场景中,我们常将Web逻辑漏洞分为关键流程跳过、未授权访问、越权漏洞、参数未校验等类型。不同于传统Web安全漏洞,逻辑漏洞对于系统本身不会产生威胁,但是会极大的干扰业务的安全运行。该攻击所能造成的影响包括但不限于:由于越权导致的用户隐私泄露,校验不严导致的任意密码修改,校验不严导致的电子商城支付漏洞等等。
[0003]然而,由于逻辑漏洞自身难以发现,并且依赖手工测试的特点,如何高效的检测逻辑漏洞已经成为Web安全一大难题。工业界目前针对Web漏洞的主流扫描工具,包括AWVS、Nessus、OWASP Zed、北极熊扫描器等,均不支持对Web逻辑漏洞进行自动化的高效检测。以中通安全团队开源的越权漏洞检测工具为例,该工具通过对捕获的HTTP数据包进行处理,替换(或置空)数据包中的身份令牌并重放数据包以识别越权漏洞的存在。由于技术本身的限制,该...
【技术保护点】
【技术特征摘要】
1.一种基于有限状态机的网站逻辑漏洞检测方法,其特征在于,包括以下步骤:步骤1:读取数据库日志与网络请求序列,匹配数据行为和网络请求的对应关系,得到每次网络请求对应的数据操作信息;步骤2:根据数据操作信息,获取每一次网络请求对应的安全属性,确定关键节点和安全性无关节点;步骤3:建立有限状态机,对网络的业务逻辑进行建模,得到特征属性图模型,以表示用户操作的逻辑行为模式;步骤4:在原始网络请求的基础上进行参数变异,生成新的测试用例,并对新测试用例的执行效果进行评估,根据不同的变异对象判定不同类型的逻辑漏洞。2.根据权利要求1所述的基于有限状态机的网站逻辑漏洞检测方法,其特征在于,所述的步骤1包括:(1
‑
1)获取用户每一次访问网站产生的HTTP数据包和对应的时间戳,以及读取服务端的数据库日志文件;(1
‑
2)解析数据库日志文件,获取日志文件中的时间戳和原始执行的SQL语句,提取原始SQL语句中涉及的表名和列名信息;(1
‑
3)解析HTTP数据包,获取每一个数据包产生后的浏览器URL地址,记录URL地址变化期间产生的HTTP数据包以及对应的时间戳;(1
‑
4)将SQL语句时间戳和HTTP数据包的时间戳进行匹配,获得每次URL跳转事件期间所有HTTP数据包对应产生的数据操作信息。3.根据权利要求1所述的基于有限状态机的网站逻辑漏洞检测方法,其特征在于,所述的步骤2具体为:判断每一次网络请求对应的数据操作信息,若数据操作不包含对数据的增删改操作,且不包含用户标识的与安全性相关的关键表名与字段名的查询操作,则认为该网络请求与安全性无关,将该网络请求对应的URL地址定义为安全性无关节点;否则,将该网络请求对应的URL地址定义为关键节点。4.根据权利要求3所述的基于有限状态机的网站逻辑漏洞检测方法,其特征在于,所述的关键节点包括查询节点、修改节点、删除节点和增添节点;所述的查询节点为包含用户标识的与安全性相关的关键表名与字段名的数据查询操作网络请求对应的URL地址,所述的修改节点为数据的数据修改操作网络请求对应的URL地址,所述的删除节点为数据删除操作网络请求对应的URL地址,增添节点为数据添加操作网络请求对应的URL地址。5.根据权利要求4所述的基于有限状态机的网站逻辑漏洞检测方法,其特征在于,所述的步骤3包括:(3
‑
1)将包含用户标识的与安全性相关的关键表名与字段名的查询操作对应的查询节点作为有限状态机初始节点,构建属性图;(3
‑
2)每次用户操作涉及URL地址转换时,在属性图上创建新节点,新节点的名称为对应的URL地址,并将新URL地址下所有网络请求对应的数据操作信息作为新节点属性,将触发URL跳转的网络请求作为连接两个相邻节点的边;(3
‑
3)重复步骤(3
‑
2),直至创建完...
【专利技术属性】
技术研发人员:纪守领,刘昕鹏,张旭鸿,陈建海,
申请(专利权)人:尚蝉浙江科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。