吳盼盼 俞嘉雯 韓冰青

摘? 要： 漏洞掃描、WAF、IPS、APT探針平臺(tái)等網(wǎng)絡(luò)安全防護(hù)設(shè)備雖然能根據(jù)實(shí)體設(shè)置策略來(lái)動(dòng)態(tài)偵測(cè)和阻止外部以及內(nèi)部的網(wǎng)絡(luò)攻擊，但無(wú)法檢測(cè)到基于系統(tǒng)邏輯漏洞的網(wǎng)絡(luò)安全攻擊，所以系統(tǒng)邏輯漏洞的挖掘十分重要。本文主要基于HTTP協(xié)議的數(shù)據(jù)包之間邏輯的分析，來(lái)進(jìn)行Web系統(tǒng)的邏輯漏洞的挖掘，從而進(jìn)一步加強(qiáng)系統(tǒng)的安全性。

關(guān)鍵詞： 網(wǎng)絡(luò)安全； 漏洞挖掘； Web系統(tǒng)； 邏輯漏洞

中圖分類號(hào)：TP393? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ?文章編號(hào)：1006-8228（2023）09-24-05

Web security logic vulnerability mining based on HTTP packets

Wu Panpan， Yu Jiawen， Han Bingqing

（Nanjing Audit University， Nanjing， Jiangsu 211815， China）

Abstract： Although network security protection devices such as vulnerability scanning， WAF， IPS， and APT probe platforms can dynamically detect and block external and internal system attacks according to entity setting policies， they cannot detect network security attacks based on system logic vulnerabilities， so it is very important to mine the system logic vulnerabilities. In this paper， we analyze the packet logic of the HTTP protocol to mine the logical vulnerabilities of the Web system， so as to further strengthen the security of the system.

Key words： network security; vulnerability mining; Web system; logic vulnerability

0 引言

網(wǎng)絡(luò)攻擊，根據(jù)攻擊手段一般可分為“硬攻擊”和“軟攻擊”兩類。SQL注入、信息監(jiān)聽(tīng)、DDOS攻擊和暴力破解等主動(dòng)或被動(dòng)攻擊，都屬于“硬攻擊”[1]，而“軟攻擊”主要的攻擊方法為社會(huì)工程攻擊，通過(guò)欺詐、誘騙等手段來(lái)獲取收集信息和入侵計(jì)算機(jī)系統(tǒng)[2]。而邏輯漏洞攻擊更像是兩者的融合。

Web安全邏輯漏洞是軟件開(kāi)發(fā)者在設(shè)計(jì)與開(kāi)發(fā)系統(tǒng)過(guò)程中存在的邏輯缺陷所造成的[2]。隨著軟件系統(tǒng)框架的成熟以及網(wǎng)絡(luò)安全設(shè)備的部署，傳統(tǒng)網(wǎng)絡(luò)攻擊的成本和難度不斷加大，但仍無(wú)法檢測(cè)與阻止基于系統(tǒng)邏輯的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全設(shè)備是對(duì)數(shù)據(jù)流進(jìn)行檢測(cè)與分析，作用于網(wǎng)絡(luò)層與應(yīng)用層[3]，一旦攻擊者出現(xiàn)攻擊行為，其流量特征與正常流量相比存在異常，則會(huì)進(jìn)行會(huì)話阻斷。

邏輯漏洞是系統(tǒng)HTTP協(xié)議接口本身存在的邏輯問(wèn)題，短信轟炸、敏感信息泄露、更改任意用戶密碼、越權(quán)、價(jià)格篡改、未授權(quán)登錄等都屬于邏輯漏洞范疇，其作用范圍廣、時(shí)間長(zhǎng)，且無(wú)法被安全設(shè)備感知[4]，在實(shí)際環(huán)境中只能通過(guò)手工分析HTTP數(shù)據(jù)包的方法來(lái)挖掘此類漏洞。

本文結(jié)合實(shí)際生產(chǎn)過(guò)程中Web系統(tǒng)常用的軟件功能模塊，詳細(xì)分析其HTTP數(shù)據(jù)包內(nèi)容以及上下接口邏輯關(guān)系，探討Web安全邏輯漏洞的挖掘思路，幫助用戶更好地進(jìn)行網(wǎng)絡(luò)安全防護(hù)。

1 驗(yàn)證碼機(jī)制缺陷

1.1 圖片驗(yàn)證碼

圖片驗(yàn)證碼被廣泛應(yīng)用在Web系統(tǒng)的各個(gè)場(chǎng)景中，用戶登錄認(rèn)證和用戶注冊(cè)是其中使用最多的兩個(gè)場(chǎng)景。圖片驗(yàn)證碼認(rèn)證機(jī)制一旦存在問(wèn)題，那么很有可能導(dǎo)致整個(gè)用戶登錄整體模塊被完全攻破和任意用戶無(wú)限次注冊(cè)的問(wèn)題。圖片驗(yàn)證碼機(jī)制缺陷一般可分為兩類。①GET/POST方法請(qǐng)求驗(yàn)證碼接口時(shí)返回的驗(yàn)證碼格式為文本格式而不是圖片格式，這樣可以直接通過(guò)報(bào)文進(jìn)行讀取，如圖1所示。②機(jī)制缺陷為驗(yàn)證碼認(rèn)證機(jī)制缺陷。由于系統(tǒng)開(kāi)發(fā)人員的失誤，僅僅依靠Web前端來(lái)進(jìn)行驗(yàn)證碼的驗(yàn)證。直接刪除報(bào)文信息中的驗(yàn)證碼字段（將code=****刪除或者將****置空），這就會(huì)導(dǎo)致空驗(yàn)證碼繞過(guò)。對(duì)于獨(dú)立驗(yàn)證碼認(rèn)證接口，可嘗試將認(rèn)證接口數(shù)據(jù)包通過(guò)Burpsuit工具直接丟棄，如若未報(bào)錯(cuò)則存在問(wèn)題。

1.2 短信驗(yàn)證碼

短信驗(yàn)證碼常存在的問(wèn)題有短信轟炸和認(rèn)證缺陷。短信轟炸是由于開(kāi)發(fā)人員未設(shè)置接口請(qǐng)求時(shí)間間隔限制造成的或是時(shí)間判斷完全依靠前端提交的Unix時(shí)間戳，通過(guò)無(wú)間隔的調(diào)用短信發(fā)送接口或更改時(shí)間戳來(lái)實(shí)現(xiàn)無(wú)限制短信發(fā)送。

認(rèn)證缺陷是指用戶已經(jīng)收到服務(wù)器發(fā)送的短信驗(yàn)證碼并填寫(xiě)提交給服務(wù)器認(rèn)證時(shí)，服務(wù)器認(rèn)證過(guò)程中存在的缺陷。關(guān)于繞過(guò)過(guò)程，可參考第1章中的圖片驗(yàn)證碼機(jī)制缺陷。對(duì)于短信驗(yàn)證碼的繞過(guò)，本文主要分析根據(jù)服務(wù)器回顯狀態(tài)碼繞過(guò)，由于認(rèn)證的特殊性，將此類方法結(jié)合密碼認(rèn)證繞過(guò)放在第2章的Response狀態(tài)值進(jìn)行闡述。

2 密碼認(rèn)證繞過(guò)

2.1 Response狀態(tài)值

在用戶提交登陸憑證請(qǐng)求后，HTTP的Response中會(huì)根據(jù)用戶的憑證返回特定的響應(yīng)值（1/0、yes/no、fail/success等）。如若系統(tǒng)存在校驗(yàn)值不嚴(yán)格，并且返回的狀態(tài)值是在前端進(jìn)行校驗(yàn)的，那么就可對(duì)Response狀態(tài)值進(jìn)行修改，用戶密碼/手機(jī)驗(yàn)證碼的非法登錄請(qǐng)求就能夠被成功執(zhí)行。如圖2所示，上面Response中的json狀態(tài)值為用戶輸入的正確密碼，下面為錯(cuò)誤的，可以在正常登錄流程中更改狀態(tài)值為正確的再提交給前端，非法用戶就能在不需要密碼的情況下登錄賬戶。如若系統(tǒng)用session、taken、JWT等會(huì)話控制功能，憑證校驗(yàn)在服務(wù)端操作，則不存在此類問(wèn)題。

2.2 暴力破解

窮舉所有的可能性就是暴力破解。暴力破解在計(jì)算機(jī)安全領(lǐng)域中應(yīng)用極廣，不僅可以用來(lái)爆破用戶名和口令，也可以對(duì)session、taken甚至是JWT進(jìn)行破解。Web系統(tǒng)中如未配有驗(yàn)證碼（圖片、滑動(dòng)、識(shí)別、計(jì)算）和登錄失敗鎖定等防暴力破解的功能，那么攻入系統(tǒng)只是時(shí)間問(wèn)題。本節(jié)主要介紹用戶名和口令的暴力破解。

用戶名和口令暴力破解的核心是字典，字典囊括了所有用戶名和口令的可能字符串。因?yàn)榇蠖鄶?shù)人的密碼會(huì)包括自己信息，所以最好的字典是根據(jù)受害者的信息使用字典工具（Cupp、Cewl、Crunch）自動(dòng)生成的，比如受害者名字、生日、手機(jī)號(hào)、身份證號(hào)、親人信息等等。一旦發(fā)現(xiàn)系統(tǒng)并不存在防暴力破解機(jī)制，則可以使用暴力破解工具抓取登錄接口信息并導(dǎo)入字典信息進(jìn)行暴力破解。正確和錯(cuò)誤的用戶口令，服務(wù)器返回信息是不同的，字節(jié)長(zhǎng)度不同，暴力破解結(jié)果根據(jù)response的Length長(zhǎng)度來(lái)甄別，如圖3所示。

3 敏感信息泄露

3.1 JWT

JWT（Json Web Token）是認(rèn)證授權(quán)會(huì)話機(jī)制的一種[5]，JWT的驗(yàn)證方式適用于分布式站點(diǎn)的單點(diǎn)登錄（SSO）場(chǎng)景，JWT的驗(yàn)證流程如圖4所示。

JWT由header、Payload、signature三個(gè)部分表示并使用“.”來(lái)分割這三串字符，header部分用來(lái)描述元素對(duì)象，由type（聲明對(duì)象是JWT）與alg（聲明Hash算法）構(gòu)成。Payload表示有效荷載，傳遞的數(shù)據(jù)都在這個(gè)字段中，除了官方提供的七個(gè)聲明字段（iss、sub、aud、exp、nbf、iat、jti），也可以自定義字段，但存在開(kāi)發(fā)人員將密碼的密文字符存放在Payload中，而header與Paylaod均使用base64進(jìn)行編碼，十分容易做逆向解析，一旦存在上述情況，就導(dǎo)致了JWT中的敏感信息泄露。

3.2 JavaScript冗余信息

JavaScript是一種非常簡(jiǎn)單且強(qiáng)大的前段腳本語(yǔ)言，但是在系統(tǒng)開(kāi)發(fā)時(shí)開(kāi)發(fā)人員為了方便，將密碼、后臺(tái)路徑、對(duì)稱密鑰、API注釋在JavaScript中，這就導(dǎo)致了敏感信息泄露[6]。此類泄露找尋方法非常簡(jiǎn)單，只需要查看源代碼并在其中輸入關(guān)鍵字段（login、adminlogin、user/login、password、phone、id等等）進(jìn)行搜索（Ctrl+F）。前端已經(jīng)匿名或者打碼的敏感信息也可能由于開(kāi)發(fā)人員的疏忽在前端代碼中找尋到，另外也可以右擊頁(yè)面找到匿名信息的前端代碼，修改元素type為“text”種類后，查看匿名信息是否直接明文顯示在前端頁(yè)面上。開(kāi)發(fā)人員需要對(duì)前端代碼進(jìn)行混淆壓縮，并仔細(xì)檢查是否留下關(guān)于敏感信息的備注

3.3 中間件版本信息

中間件是介于操作系統(tǒng)與應(yīng)用軟件的一類軟件，用來(lái)發(fā)布應(yīng)用軟件。B/S（瀏覽器/服務(wù)器）架構(gòu)系統(tǒng)常用的中間件有tomcat、apache、weblogic等。

中間件版本信息泄露主要有兩個(gè)來(lái)源，一是HTTP數(shù)據(jù)包中的Response返回信息泄露，主要是Server與X-Powered-By字段泄露，如圖5所示。但Apache-Coyote/1.1可以作為例外，它不會(huì)暴露tomcat的具體版本號(hào)，可以不隱藏版本號(hào)。同時(shí)構(gòu)造報(bào)錯(cuò)頁(yè)面影響的請(qǐng)求，比如訪問(wèn)未被授權(quán)的頁(yè)面的URL構(gòu)造401錯(cuò)誤、訪問(wèn)不存在的頁(yè)面的URL構(gòu)造404錯(cuò)誤和篡改http method改為站點(diǎn)不允許的http method構(gòu)造405錯(cuò)誤，查看報(bào)錯(cuò)頁(yè)面是否存在版本號(hào)并與漏洞庫(kù)進(jìn)行對(duì)比。

近些年來(lái)不同版本的中間件存在的安全漏洞非常之多（CVE-2017-12615、CVE-2019-0232等），且風(fēng)險(xiǎn)巨大，每次最新的中間件漏洞被挖掘后廠商只能進(jìn)行發(fā)布版本補(bǔ)丁更新，但由于并不是所有的系統(tǒng)運(yùn)維人員都會(huì)去進(jìn)行補(bǔ)丁更新，一旦開(kāi)發(fā)人員在系統(tǒng)開(kāi)發(fā)過(guò)程中沒(méi)有對(duì)中間件的版本信息進(jìn)行隱藏處理，就很有可能導(dǎo)致漏洞直接被非法人員利用。

4 越權(quán)漏洞

4.1 垂直越權(quán)

垂直越權(quán)，是在不同用戶級(jí)別、權(quán)限之間的越權(quán)訪問(wèn)。垂直越權(quán)分為向上越權(quán)和向下越權(quán)，向上越權(quán)指一個(gè)低權(quán)限用戶訪問(wèn)高權(quán)限用戶的資源與功能。高級(jí)別用戶訪問(wèn)低級(jí)別用戶信息（對(duì)高級(jí)別用戶屏蔽的信息）為向下越權(quán)，這類情況較少見(jiàn)，所以垂直越權(quán)一般指向上越權(quán)。

垂直越權(quán)的原因是系統(tǒng)功能與資源未與用戶身份信息（cookie、session、token）綁定。假設(shè)在一個(gè)民生供水系統(tǒng)中，A用戶為管理用戶，有權(quán)限進(jìn)行社區(qū)供水流量的調(diào)節(jié)，而B(niǎo)用戶為普通用戶，只能進(jìn)行基本的水流量監(jiān)控與水卡充值權(quán)限，在一次偶然中B用戶發(fā)現(xiàn)了供水流量調(diào)節(jié)的HTTP接口信息，一旦系統(tǒng)存在垂直越權(quán)漏洞，用戶B可直接登錄自己的賬戶將自己的身份信息（cookie、session、token）填寫(xiě)在接口中并調(diào)用，后果不堪設(shè)想。

垂直越權(quán)在實(shí)際系統(tǒng)中普遍存在，由于開(kāi)發(fā)人員疏忽，未對(duì)用戶身份權(quán)限信息進(jìn)行鑒別，雖然前段流程看起來(lái)是違規(guī)的，但是HTTP數(shù)據(jù)包只傳遞信息給服務(wù)器，并不去管是否權(quán)限對(duì)應(yīng)，服務(wù)器端由于未鑒別權(quán)限，收到后并不會(huì)發(fā)現(xiàn)這是個(gè)違法信息。

4.2 水平越權(quán)

水平越權(quán)是攻擊者想訪問(wèn)與自己同級(jí)別用戶的資源，其中主要包括三個(gè)場(chǎng)景：基于用戶身份ID、基于對(duì)象ID、基于文件名，這三類可同屬于ID指向，更改ID指向只能實(shí)現(xiàn)水平越權(quán)。圖6中，用戶A與用戶B是同級(jí)別用戶，他們的資源（文件、敏感信息、配置等）也是分隔的，分別對(duì)應(yīng)資源1與資源2。在正常訪問(wèn)資源流程中，用戶B的訪問(wèn)請(qǐng)求在HTTP數(shù)據(jù)包的表現(xiàn)為ID=資源2，但如果存在平行越權(quán)漏洞，則可以通過(guò)更改資源ID為1就能訪問(wèn)用戶A的資源。

平行越權(quán)的在實(shí)際場(chǎng)景中普遍存在，失效的訪問(wèn)控制是造成平行越權(quán)的原因，開(kāi)發(fā)人員在系統(tǒng)開(kāi)發(fā)過(guò)程中應(yīng)考慮到權(quán)限與用戶之間的綁定，并在系統(tǒng)開(kāi)發(fā)完成后進(jìn)行測(cè)試。

5 業(yè)務(wù)邏輯一致性

5.1 競(jìng)爭(zhēng)條件

存在類似積分兌換業(yè)務(wù)等情況，需要判斷是否滿足條件，這類業(yè)務(wù)需要對(duì)請(qǐng)求做類似隊(duì)列的處理，或者對(duì)判斷條件是否滿足的依據(jù)數(shù)據(jù)的獲取做加鎖處理，只有因此類問(wèn)題對(duì)經(jīng)濟(jì)上造成損失的業(yè)務(wù)才需要檢查此項(xiàng)，如購(gòu)買相應(yīng)規(guī)格的服務(wù)，如果能突破人為設(shè)置規(guī)格的上限，公司是會(huì)承受損失的。

舉例來(lái)說(shuō)，如積分兌換業(yè)務(wù)，假設(shè)目前賬號(hào)有500積分，應(yīng)該可以兌換200積分的獎(jiǎng)品二次，但很多情況下服務(wù)器處理是同時(shí)進(jìn)行的，如果檢查條件時(shí)沒(méi)有加鎖或者隊(duì)列處理兌換業(yè)務(wù)，那么在該用戶并發(fā)大量?jī)稉Q請(qǐng)求時(shí)，兌換的條件檢查同時(shí)都是該賬戶下有500積分，這樣就存在可以多兌換的問(wèn)題。

5.2 篡改價(jià)格、數(shù)量（極值）

如果業(yè)務(wù)的表單設(shè)計(jì)中直接包含了價(jià)格的參數(shù)（price）、數(shù)量或者涉及到價(jià)格、數(shù)量（不推薦在表單中設(shè)計(jì)價(jià)格參數(shù)）可能會(huì)出現(xiàn)產(chǎn)品“0元購(gòu)”、數(shù)量超出控制（最大與最?。﹩?wèn)題。

在一個(gè)正常流程中攔截請(qǐng)求，嘗試將價(jià)格參數(shù)篡改成0、較低的值、負(fù)值等，后端檢測(cè)、控制輸入可能被突破。對(duì)于有訂購(gòu)數(shù)量上限的，嘗試篡改請(qǐng)求中的代表訂購(gòu)數(shù)量的參數(shù)，以檢測(cè)能否訂購(gòu)成功。如果訂購(gòu)次數(shù)有限制，則嘗試重放訂購(gòu)請(qǐng)求或者繞過(guò)前端限制進(jìn)行訂購(gòu)。參考http參數(shù)污染的思路，有價(jià)格參數(shù)并作輸入檢查限制的情況下，自行增加一個(gè)相同的價(jià)格參數(shù)，嘗試通過(guò)此種方式突破參數(shù)的輸入檢查限制。在沒(méi)有price參數(shù)的情況下，可以參考http參數(shù)污染的思路，自行構(gòu)造“price”等。不同規(guī)格計(jì)費(fèi)參數(shù)，低規(guī)格產(chǎn)品訂購(gòu)時(shí)更改為高規(guī)格實(shí)例參數(shù)，嘗試低價(jià)高購(gòu)問(wèn)題篡改。對(duì)一些線性計(jì)費(fèi)產(chǎn)品，如個(gè)/月計(jì)費(fèi)，將數(shù)量更改為0，查看是否能免費(fèi)訂購(gòu)。

5.3 任意用戶密碼更改

任意用戶密碼更改漏洞主要存在于“忘記密碼”與“更改密碼”模塊，如果Web功能邏輯不嚴(yán)謹(jǐn)，則會(huì)造成惡意者隨意更改他人密碼。

任意密碼更改一般要與驗(yàn)證碼漏洞或者平行越權(quán)漏洞聯(lián)系起來(lái)。在第四章第二節(jié)《水平越權(quán)》中，其中的資源庫(kù)也可以指用戶的密碼，這樣情況一般出現(xiàn)在“更改密碼”的模塊中。如果身份信息未與鑒權(quán)信息進(jìn)行綁定，而僅僅依靠資源ID指向，攻擊者只要知道用戶對(duì)應(yīng)的資源ID（猜解、爆破）就能進(jìn)行任意用戶的密碼更改。

“忘記密碼”中的邏輯缺陷一般要聯(lián)系驗(yàn)證碼漏洞與跳過(guò)驗(yàn)證碼步驟。在正常的“忘記密碼”過(guò)程中，系統(tǒng)一般都要求用戶輸入手機(jī)號(hào)進(jìn)行驗(yàn)證碼接收，在此過(guò)程中則會(huì)出現(xiàn)四種場(chǎng)景：

⑴ 驗(yàn)證碼失效；

⑵ 驗(yàn)證碼未綁定用戶；

⑶ 篡改接收手機(jī)號(hào)/郵箱；

⑷ 跳過(guò)驗(yàn)證碼密碼步驟。

如果服務(wù)器未設(shè)置驗(yàn)證超時(shí)等功能造成驗(yàn)證碼功能失效，可導(dǎo)致攻擊者直接進(jìn)行驗(yàn)證碼暴力破解。驗(yàn)證碼未綁定用戶的情況會(huì)導(dǎo)致攻擊者在使用自己的手機(jī)號(hào)/郵箱來(lái)進(jìn)行驗(yàn)證碼的，驗(yàn)證成功后修改HTTP數(shù)據(jù)包將手機(jī)號(hào)/郵箱換成其他人，這就實(shí)現(xiàn)了修改他人密碼。在“找回密碼”時(shí)，系統(tǒng)會(huì)要求輸入用戶名，之后系統(tǒng)會(huì)根據(jù)用戶名發(fā)送驗(yàn)證碼，在此期間使用軟件攔截?cái)?shù)據(jù)包，將受害者的手機(jī)號(hào)/郵箱更改為自己的，就能實(shí)現(xiàn)非法修改驗(yàn)證碼。如圖7所示，Web對(duì)用戶密碼的更改流程。

攻擊者先用自己的賬戶來(lái)進(jìn)行一個(gè)完整 “找回密碼”流程，并記錄流程接口數(shù)據(jù)，如果系統(tǒng)校驗(yàn)不嚴(yán)格，會(huì)導(dǎo)致攻擊者輸入受害者手機(jī)號(hào)發(fā)送驗(yàn)證碼，之后直接丟棄驗(yàn)證碼檢驗(yàn)數(shù)據(jù)包跳到輸入新密碼修改密碼接口，以此來(lái)實(shí)現(xiàn)任意用戶密碼更改。

6 結(jié)束語(yǔ)

Web安全邏輯漏洞是開(kāi)發(fā)者在系統(tǒng)開(kāi)發(fā)時(shí)期沒(méi)有充分考慮到系統(tǒng)的安全邏輯性所導(dǎo)致的，在實(shí)際Web應(yīng)用環(huán)境中普遍存在，而且很難被漏洞掃描探測(cè)出來(lái)，一旦被攻擊者利用，攻擊行為就很難被攔截且溯源也極為困難。本文通過(guò)HTTP數(shù)據(jù)包工作機(jī)制與流程，從驗(yàn)證碼機(jī)制缺陷、密碼認(rèn)證繞過(guò)、敏感信息泄露、越權(quán)漏洞、業(yè)務(wù)邏輯一致性這五個(gè)方面，且通過(guò)具體實(shí)例來(lái)闡述Web安全邏輯漏洞挖掘思路。接下來(lái)將繼續(xù)對(duì)邏輯漏洞安全識(shí)別與修補(bǔ)做深入研究，同時(shí)結(jié)合深度學(xué)習(xí)技術(shù)，為單位與企業(yè)的Web系統(tǒng)的安全開(kāi)發(fā)提供有效的理論參考。

參考文獻(xiàn)（References）：

[1] Douglas Jacobson.網(wǎng)絡(luò)安全基礎(chǔ)——網(wǎng)絡(luò)攻防、協(xié)議與安全[M].電子工業(yè)版社，2016.

[2] 謝其祥，李莎.基于沙盒技術(shù)及社會(huì)工程學(xué)角度分析和防范釣魚(yú)攻擊的研究[J].廣東通信技術(shù)，2022，42（9）：46-51.

[3] 陳春玲，雷世榮，陳丹偉.分布式防火墻的原理、實(shí)現(xiàn)及應(yīng)用[J].南京郵電學(xué)院學(xué)報(bào)，2002（4）：5-10.

[4] 劉欣然.網(wǎng)絡(luò)攻擊分類技術(shù)綜述[J].通信學(xué)報(bào)，2004（7）：30-36.

[5] 范展源，羅福強(qiáng).JWT認(rèn)證技術(shù)及其在Web中的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用，2016（2）：114.

[6] 馬洪亮，王偉，韓臻.混淆惡意JavaScript代碼的檢測(cè)與反混淆方法研究[J].計(jì)算機(jī)學(xué)報(bào)，2017，40（7）：1699-1713.