10.14188/j.1671-8836.2018.02.003
基于Fuzzing技术的云数据泄露漏洞检测
目前Web应用上存在接口枚举、越权与敏感信息回传三种逻辑漏洞,在SaaS服务模式的背景下,攻击者利用这些漏洞可以非法获取云端数据,给厂商和用户造成损失.主流的检测方案未实现自动化,依赖测试者经验的渗透测试,难以全面覆盖复杂的Web应用业务逻辑.本文分析云数据服务Web应用的业务逻辑,建立抽象三种逻辑漏洞的威胁模型,设计漏洞Fuzzing检测算法和系统框架,并实现了原型系统.实验结果表明,本文方案可检测造成云数据泄露的三种逻辑漏洞,与人工经验相结合,实现自动化的渗透测试.测试真实Web应用,发现了未被修补的三种逻辑漏洞,并已经得到厂商确认,提升了漏洞挖掘的覆盖度.
Web应用安全、信息泄露、Fuzzing测试、业务逻辑漏洞
64
TP309.2(计算技术、计算机技术)
国家自然科学基金资助项目U1636107,61373168,61202387
2018-05-30(万方平台首次上网日期,不代表论文的发表时间)
共6页
115-120
