渗透测试在电商系统中的研究和应用

摘要

随着互联网技术逐渐深入到日常生活中，同样也伴随着严重的安全问题，尤其是针对电子商务系统。渗透测试是对应用程序检测安全漏洞的措施，逐渐应用于日常的安全测试工作中。可以在研发阶段尽早的发现应用程序中存在的潜在漏洞，来避免威胁。但是在实际的测试工作中，大部分测试人员没有系统的指导，而是凭借自己的业务经验进行测试，或者使用漏洞扫描工具进行测试。这就导致对于同一个应用型程序，不同的人员的测试结果会大不相同。基于此，本文将整理一套系统的测试方法，设计更有效的检测系统，并应用于电商系统，减少测试过程中的误报并提高测试效率。
　　针对上述问题，论文首先分析了选题依据和研究意义，分析渗透测试在国内外的研究现状，并对相关理论和技术进行研究;然后，确定了渗透测试的范围，并在此基础上设计渗透测试系统。其中收集信息的爬虫模块，使用Simhash算法去相似，减少占用的存储空间，提高整个系统的效率。
　　论文结合实际项目给出一个完整的应用案例来对渗透测试方法进行了验证。取得如下的研究成果。
　　(1)对电商业务进行分析，结合漏洞扫描与手工渗透测试的优势，设计渗透测试方法，确定渗透测试的范围。将渗透测试的范围进行划分，按产生原因将测试内容划分为会话管理类、信息泄露类、数据验证类、业务逻辑类四大类漏洞，并展开相关的技术研究。
　　(2)在渗透测试检测方法的基础上，进行需求分析，并选取信息泄露类的敏感目录信息和数据验证类的XSS跨站攻击漏洞，进行详细设计，与端口扫描和爬虫模块一起构建漏洞检测系统，并在电商系统中实施测试，验证其功能的可行性以及在性能方面的优势。
　　(3)在爬虫模块，设计并实现了基于Simhash算法的爬虫，结合渗透测试的特点，不单单是去除重复的URL，并去除相似的URL，并与以往去重方案进行了分析比较，说明其在存储代价方面具有较高的优越性。

目录

声明

摘要

第1章 引言

1．1 选题依据和研究意义

1．2 国内外研究现状

1．2．1 国外测试研究现状简介

1．2．2 国内测试研究现状简介

1．3 论文研究内容与技术路线

1．4 论文结构介绍

第2章 论文基础理论与技术简介

2．1 电子商务系统安全问题分析

2．2 Web渗透测试技术

2．2．1 渗透测试介绍

2．2．2 渗透测试流程

2．3 渗透测试辅助技术

2．3．1 Fiddler

2．3．2 Firebug

2．4 本章小结

第3章 渗透测试范围及技术研究

3．1 信息收集

3．2 信息泄露类漏洞

3．3 会话管理漏洞

3．4 数据验证类漏洞

3．5 业务逻辑类漏洞

3．5．1 支付漏洞分析

3．5．2 权限漏洞分析

3．6 本章小结

第4章 基于Simhash算法的网络爬虫设计

4．1 爬虫采集策略

4．2 正则表达式

4．3 网页去重策略

4．4 Simhash算法

4．4．1 Simhash算法流程

4．4．2 海明距离

4．5 本章小结

第5章 渗透测试技术的设计与实现

5．1 需求分析

5．2 系统总体设计

5．2．1 系统设计目标

5．2．2 系统总体结构设计

5．2．3 系统总体流程设计

5．3 功能设计与实现

5．3．1 爬虫模块

5．3．2 端口扫描模块

5．3．3 XSS漏洞检测模块

5．3．4 敏感目录检测模块

5．3．5 支付漏洞检测

5．3．6 报告生成模块

5．4 数据库设计

5．5 本章小结

第6章 渗透测试技术在电商平台的应用分析

6．1 测试思路和目的

6．2 测试环境

6．3 系统可用性测试及分析

6．3．1 爬虫模块测试与结果分析

6．3．2 端口扫描测试与结果分析

6．3．3 敏感目录测试与结果分析

6．3．4 XSS漏洞测试与结果分析

6．3．5 实用性分析与对比

6．4 非功能性需求的测试及分析

6．5 本章小结

总结

致谢

参考文献

硕士学位期间取得的学术成果