web逻辑漏洞是近几年出现的一种新型漏洞,与传统的sql注入、跨站脚本攻击、文件包含等漏洞不同。这种漏洞是人的思维逻辑出现错误,一般是通过利用业务流程和HTTP/HTTPS请求篡改,找到关键点后往往不用构造恶意的请求即可完成攻击,很容易绕开各种安全防护手段。而且对于逻辑漏洞的攻击方法并没有固定的模式,所以很难使用常规的漏洞检测工具检测出来。密码找回、交易篡改和越权缺陷是最主流的三种逻辑漏洞,黑客利用这些漏洞能够轻易地绕过身份认证机制、修改交易金额、窃取他人信息,对企业和个人造成很大的危害。虽然逻辑漏洞已经被黑客多次利用,但逻辑漏洞的检测方法还是靠人工检测,准确率高但是效率极低。因为它是一种逻辑上的设计缺陷,业务流存在问题,这种类型的漏洞不仅限于网络层、系统层、代码层等,而且能够逃逸各种网络层、应用层的防护设备,迄今为止缺少针对性的自动化检测工具。为了缓解这些问题,本文提出一种可扩展的的自动化逻辑漏洞检测的解决方案。以下是本文的主要工作内容:(1)关键技术和问题研究。研究了传统的人工渗透测试方法并改进,使其适用于实现自动化检测;使用渗透测试,网络爬虫,网页信息提取,url去重等技术;设计一个解决方案实现对密码找回、交易篡改和越权缺陷三种常见逻辑漏洞的自动化检测。(2)系统设计。应用设计的解决方案,实现自动化的逻辑漏洞检测系统。拟定系统主要分成用户界面、管理控制模块、网页采集模块、漏洞检测模块以及检测报告模块。然后完成系统设计。(3)测试及分析。选取多个web应用程序进行测试,并生成检测报告。通过与人工渗透测试的方法进行对比,实现了逻辑漏洞自动化检测,提高了逻辑漏洞检测的效率。