Research on copyright appointment registration microplatform system based on vue

Abstract

With the rapid development of copyright industry, peoples copyright awareness of their own creation of software and works is constantly improving, the number of applications for software copyright registration and works copyright is increasing. Therefore, how to make copyright registration business becomes more convenient and efficient is imminent. Existing copyright registration system need to first fill through PC and then make an appointment through the phone to deal with relevant business. This model is not only complicated operations, but also poor user experience. Therefore, based on the analysis of multiple needs of users and enterprises, this paper proposes to use Vue,SpringBoot, MyBatis and other technologies to develop a copyright appointment registration system based on microplatform. The development of this system can not only for the user to create a more convenient way of operation, give users a better experience, but also can change, rich business approach, bring more profits.

Keywords: Vue, copyright appointment registration, SpringBoot, microplatform.

Introduction

The continuous development of information technology has lowered the threshold for people to access Internet resources. In this era of whole-network information sharing, the public can easily see others works and save them online^[1]. Therefore, peoples awareness of the copyright of their own software and works is constantly improving, and it is very common to prove the ownership of their works by applying for software copyright registration and works copyright registration. As the only national copyright registration organization, the copyright registration system undertakes all software copyright registration tasks and part of the work copyright registration tasks. The system has played a great role in promoting the development of copyright registration business. According to the analysis report on software copyright registration in China in 2020 issued by China Copyright Protection Center on March 18, 2021, it is pointed out that in 2020, China registered a total of 1722,904 computer software Copyrights, an increase of nearly 240,000

* Corresponding author: 2643963632@qq.com

copy; The Authors, published by EDP Sciences. This is an open access article distributed under the terms of the Creative

Commons Attribution License 4.0 (http://creativecommons.org/licenses/by/4.0/).

compared with that in 2019, basically continuing the registration trend of substantial growth since 2017, with the total number of registrations increasing by more than 200,000 annually for four consecutive years ^[2].You can see that the copyright registration business shows rapid growth trend. With the continuous improvement of the copyright registration business, the number of people handling the business continues to increase, users requirements for the quality of copyright registration service are also increasingly high. Both the convenience of registration and appointment and the operability and aesthetics of the system have become an important indicator for people to measure the service level of the copyright industry. However, the current mode of copyright registration and filing through PC terminal and booking through mobile terminal in the Copyright Center can no longer meet the users demand for fast and efficient handling of copyright services. In this environment, a new way to solve the current problems needs to be explored.

In addition, with the rapid development of 4G/5G technology, the operation mode of mobile terminals is becoming more and more popular with the public. The way of online operation on PC can no longer meet peoples requirements for the convenience of study and life. The emergence of mobile APP makes it easy for people to work online without carrying heavy terminals. However, this way not only requires downloading the corresponding software to carry out the corresponding operation, but also brings some security risks.The emergence of the 'micro' era has broken these shackles. WeChat official account is used to handle business without carrying bulky computer or downloading any software. You can enter the copyright appointment registration system and conduct corresponding operation according to the identity authority only by paying attention to it. In this way, users can understand the information of copyright registration regardless of time and region, complete the operation of registration and appointment, eliminate the tedious process of filling on the PC and booking on the mobile end, bring users a more convenient way of registration and filling in, and improve users satisfaction with the copyright industry.

Therefore, in order to solve the above problems, this paper proposes a copyright appointment registration system based on WeChat public account. The design and implementation of this system is an innovation of the existing service management mode of the copyright industry, and a breakthrough of the single terminal for its business management. The research and implementation of appointment registration on microplatform will provide theoretical support for promoting the transformation and development of the copyright industry. The development of microplatform not only enables users to conduct business operations more convenient and efficient, improve user satisfaction, but also enhances the business volume of enterprises and brings greater profits to enterprises.

The implementation principle and advantages of Vue.js technology

As Web applications become more and more complex, front-end frameworks such as Angular, React, and Vue have become the first choice for mo

剩余内容已隐藏，支付完成后下载完整资料

SecuBat:一个Web漏洞扫描器

摘要

随着网络的普及和网络应用程序成为日常使用的工具，网络安全的作用也变得越来越重要。过去几年，网络攻击的数量显著增加。例如，媒体广泛报道了最近发生的涉及数百万客户丢失敏感信用卡信息的安全事件。

许多web应用程序的安全漏洞都是由一般的输入验证问题引起的。此类漏洞的例子有SQL注入和跨站点脚本(XSS)。虽然大多数web漏洞都很容易理解和避免，但不幸的是，许多web开发人员对安全并不了解。因此，互联网上存在许多易受攻击的网站。

本文演示了攻击者在大量web应用程序中自动发现和利用应用程序级漏洞是多么容易。为此，我们开发了SecuBat，这是一个通用的、模块化的web漏洞扫描器，它与端口扫描器类似，可以自动分析网站，以发现可利用的SQL注入和XSS漏洞。使用SecuBat，我们能够找到许多潜在的易受攻击的网站。为了验证SecuBat的准确性，我们从潜在受害者名单中挑选了100个感兴趣的网站进行进一步分析，并确认了这些网页中可利用的漏洞。我们的受害者中有知名的全球公司和一个财政部。当然，我们向易受攻击站点的管理员通报了潜在的安全问题。超过50人回复要求提供更多信息或报告安全漏洞已被关闭。

关键字：跨站脚本，SQL注入，自动漏洞检测，安全，扫描器，爬行

1.介绍

网络已经成为我们生活的重要组成部分。每天，我们都要与大量使用各种不同技术实现的定制web应用程序进行交互。web的高度异构性及其不同的实现语言、编码标准、浏览器和脚本环境，使得web应用程序开发人员很难适当地保护其应用程序，并及时应对新出现的威胁和新发现的攻击。

十年前，应用程序通常部署在封闭的客户机-服务器或独立场景中。在那时，测试和保护一个应用程序比今天更容易，在今天，web应用程序可以被数百万匿名的Internet用户访问。随着越来越多的安全关键应用程序，如银行系统、政府事务接口和电子商务平台，都可以直接通过web访问，web应用程序的安全和防御的作用已经变得越来越重要。

许多web应用程序的安全漏洞都是由一般的输入验证问题引起的。此类漏洞的例子有SQL注入和跨站点脚本(XSS)。虽然大多数web漏洞都很容易理解和避免，但不幸的是，许多web开发人员对安全并不了解。因此，网络上存在着大量的易受攻击的应用程序和网站。^[10]有两种主要的方法来测试软件应用程序是否存在缺陷和漏洞:

bull;在白盒测试中，分析应用程序的源代码，试图追踪有缺陷或脆弱的代码行。通过为通用开发环境创建附加工具，该操作通常集成到开发过程中。

bull;在黑盒测试中，不直接检查源代码。相反，生成特殊的输入测试用例并发送给应用程序。然后，分析应用程序返回的结果，以发现指示错误或漏洞的意外行为。

到目前为止，白盒测试[11,23]还没有广泛用于发现web应用程序中的安全缺陷。一个重要的原因是白盒分析工具的检测能力有限，特别是由于异构的编程环境和包含数据库、业务逻辑和用户界面组件的应用程序的复杂性。

在实践中，黑盒漏洞扫描器被用来发现web应用程序中的安全问题。这些工具通过对应用程序发起攻击并观察其对这些攻击的响应进行操作。为此，web服务器漏洞扫描器(如Nikto[18]或Nessus[22])会清除已知软件缺陷的大型存储库。虽然这些工具在审核网站安全性时是有价值的组件，但它们在很大程度上缺乏识别先验未知漏洞实例的能力。因此，我们需要一种扫描器，它可以覆盖广泛的一般类型的漏洞，而不需要对特定版本的web应用程序的漏洞有特定的了解。

在本文中，我们提出了SecuBat，这是一种开源的web漏洞扫描器，它使用黑盒方法对网站进行爬行和扫描，以发现可利用的SQL注入和XSS漏洞。我们的系统不依赖于已知bug的数据库。相反，利用应用程序级漏洞的独特的底层属性来检测受影响的程序。为了增加对扫描结果正确性的信心，我们的工具还尝试在某些情况下自动生成概念验证漏洞。

SecuBat具有灵活的体系结构，由多线程爬行、攻击和分析组件组成。在图形用户界面的帮助下，用户可以配置单个或组合的爬行和攻击运行。在我们的原型实现中，我们目前提供了四种不同的攻击组件:SQL注入、简单反射XSS攻击、编码反射XSS攻击和表单重定向XSS攻击。此外，我们提供了一个应用程序编程接口(Application Programming Interface, API)，使开发人员能够实现他们自己的模块，以发起其他所需的攻击。

本文的主要贡献如下:

1. 我们展示了攻击者在大量web应用程序中自动发现和利用应用程序级漏洞是多么容易。

2. 我们开发了四个攻击模块，分析web应用程序中常见的应用级SQL和XSS漏洞。此外，我们提出了一种机制来自动获取发现的漏洞的攻击。

3. 据我们所知，SecuBat是第一个能够自动检测XSS漏洞并生成有效的概念验证漏洞的开源工具。

本文的结构如下:第2节简要介绍了SQL注入和XSS攻击。第3节描述了我们的自动漏洞检测方法。第4节详细介绍了四个实现的攻击和分析组件。第5节讨论SecuBat扫描程序框架的实现。第6节给出了评估结果并讨论了我们检测到的漏洞。第7节对其中一个易受攻击的网站进行了深入的案例研究。第8节概述了相关工作。最后，第9节讨论了未来的工作，第10节总结了本文。

2.典型的网络攻击

2.1 SQL注入

SQL注入攻击是基于将字符串注入数据库查询，从而改变其预期用途。如果web应用程序没有正确地过滤(消毒)用户输入，就会发生。

SQL有许多变种。大多数方言都松散地基于最新的ANSI标准SQL-92[17]。SQL语言中典型的执行单元是查询，这是一组旨在从数据库记录中检索数据或操作记录的语句集合。查询通常会产生一个包含查询结果的结果集。除了数据检索和更新外，SQL语句还可以使用DDL语句[17]修改数据库的结构。

如果攻击者能够将SQL语句插入到应用程序的现有SQL查询中，那么web应用程序很容易受到SQL注入攻击。这通常是通过将恶意输入注入用于组合查询的用户字段来实现的。例如，考虑一个web应用程序，它使用如清单1所示的查询对其用户进行身份验证。

清单1:SQL注入第1步

这个查询从表Users中检索密码为“doe”的用户“john”的ID和LastLogin字段。这类查询通常用于检查用户登录凭证，因此是攻击者的主要目标。在本例中，登录页面提示用户在表单中输入用户名和密码。提交表单时，将使用表单的字段构造一个对用户进行身份验证的SQL查询(如清单2所示)。

清单2:SQL注入第2步

如果登录应用程序没有对表单字段执行正确的输入验证，攻击者可以向查询中注入字符串，从而改变查询的语义。例如，考虑一个攻击者输入如清单3所示的用户凭证

清单3:SQL注入步骤3

使用提供的表单数据，易受攻击的web应用程序构造一个动态SQL查询来验证用户，如清单4所示。

清单4:SQL注入第4步

命令“——”表示Transact- SQL中的注释。因此，SQL数据库引擎会忽略第一个“——”之后的所有内容。在输入字符串中的第一个引号的帮助下，关闭了用户名字符串，而“OR 1=1”向查询添加了一个子句，其计算结果是对于表中的每一行都为True。执行此查询时，数据库返回所有用户行，应用程序通常将其解释为有效登录。

为了避免SQL注入漏洞，web应用程序开发人员需要考虑恶意输入数据，并在使用它构建动态生成的SQL查询之前对其进行适当的清理。另一种帮助开发人员的方法是在web服务器应用程序环境中实现用户数据编码。例如，微软在他们的。net框架中实现了这样的安全检查[4,6]。除了这些特定于开发环境的方法之外，另一个解决方案是使用一个中间组件来执行危险字符[5]的过滤，就像Alfan- tookh在他关于SQL注入避免[1]的论文中提出的那样。

2.2跨站点脚本编制

跨站脚本攻击(XSS，有时也缩写为CSS)指攻击者向web应用程序注入恶意JavaScript的一系列攻击[2,9]。当受害者使用恶意脚本查看易受攻击的网页时，该脚本直接来自网站本身，因此是可信的。因此，脚本可以访问和窃取网站可以访问的cookie、会话id和其他敏感信息。这里，绕过了JavaScript[21]的同源策略(该策略限制脚本只能访问那些属于加载脚本所在站点的cookie)。

XSS攻击通常执行起来很简单，但是很难预防，并且可能造成重大的破坏。存在两种不同类型的XSS攻击:反射XSS攻击和存储XSS攻击。

目前在web应用程序中最常见的一种攻击称为反射式跨站攻击。考虑一个用户访问流行的www.myonline-banking.com网站来执行敏感操作，例如在线银行。不幸的是，网站上的搜索表单无法执行输入验证，每当输入一个没有返回任何结果的搜索查询时，用户就会显示一条消息，其中也包含未过滤的搜索字符串。例如，如果用户输入一个搜索字符串“lt;igt;Hello Worldlt;igt;”，斜体标记(即。， lt;igt;)没有被过滤，并且用户的浏览器显示“No matches for Hello World”(注意，搜索字符串是斜体显示的)。这表明应用程序中存在一个反映的XSS漏洞，可以通过以下方式利用该漏洞。首先，攻击者编写一个JavaScript片段，当在受害者的浏览器中执行时，将受害者的cookie发送给攻击者。现在，攻击者欺骗受害者单击指向脆弱表单的操作目标的链接，该链接包含恶意脚本作为URL (GET1)参数(如清单5所示)。这可以通过通过电子邮件将其发送给用户来实现

清单5:恶意XSS链接

当用户点击此链接时，脆弱的应用程序收到一个类似于前一个的搜索请求，其中搜索词是lt;igt;Hello Worldlt;igt;。唯一的区别是，搜索词是攻击者编写的恶意脚本。受害者的浏览器现在接收到来自可信web服务器的恶意JavaScript代码，并执行它，而不是用斜体显示的无害短语。结果，用户的cookie(其中可能包含身份验证凭据)被发送给攻击者。这个例子也说明了为什么攻击被称为反射;恶意代码在被服务器反射回来后出现在受害者的浏览器上。

除了窃取cookie，还有一种利用反射XSS漏洞的替代方法。假设前面示例中描述的脆弱web页面还包含一个登录表单。使用JavaScript，可以修改表单将收集的数据发送到的位置。因此，攻击者可以调整恶意JavaScript代码片段，使其将登录表单重定向到自己的服务器。当用户在被破坏的登录表单中输入她的名字和密码并提交表单时，她的凭据就会传输给攻击者。请注意，脆弱的形式(即。例如，我们示例中的搜索表单)不需要与在攻击期间被重定向的表单相同(即:，登录表单)。

第二种XSS攻击是所谓的存储XSS攻击。顾名思义，与反射攻击的区别在于，恶意脚本不会被服务器立即反射回受害者，而是存储在易受攻击的应用程序中，以便以后检索。易受这种XSS攻击的应用程序的一个典型例子是消息板，它不能执行充分的输入验证。攻击者可以将包含恶意脚本的消息发布到留言板，留言板存储并随后将其显示给其他用户，从而造成预期的破坏。目前，SecuBat只专注于发现反映的XSS漏洞。

3.自动化的脆弱性检测

我们的SecuBat漏洞扫描器由三个主要组件组成:首先，爬行组件收集一组目标网站。然后，攻击组件对这些目标发起配置的攻击。最后，分析组件检查web应用程序返回的结果，以确定攻击是否成功。

3.1爬行组件

由于远程web服务器的响应时间相对较慢(通常在100到10000毫秒之间)，我们使用一个正在执行多个并发工作线程的排队工作流系统来提高爬行效率。根据运行SecuBat的机器的性能、上行链路的带宽和目标web服务器，通常在漏洞检测运行期间部署10到30个并发工作线程。

要启动一个爬行会话，SecuBat的爬行组件需要被植入一个根网站地址。使用这个地址作为起点，爬行器沿着链接树逐步向下，在这个过程中收集所有的页面和包含的web表单。就像一个典型的网络爬虫一样，SecuBat具有最大链接深度、每个域要爬行的最大页面数、最大爬行时间和删除外部链接的选项的可配置选项。对爬行组件的实现进行了概念性的思考，从现有的系统，特别是从肯·穆迪和马可·帕洛米诺的SharpSpider^[16]和大卫·克鲁威的spider^[8]。

3.2袭击组件

爬行阶段完成后，SecuBat开始处理目标页面列表。具体来说，攻击组件扫描每个页面，以查找是否存在web表单。原因是web表单的字段构成了web应用程序的入口点。

对于每个web表单，我们提取操作(或目标)地址和方法。， GET或POST)，用于提交表单内容。此外，还将收集表单字段及其相应的CGI参数。然后，根据所发起的实际攻击，为表单字段选择适当的值。最后，表单内容被上传到由操作地址指定的服务器(使用GET或POST请求)。根据HTTP协议[3]的定义，被攻击服务器通过HTTP返回响应页面来响应这样的web请求。

3.3分析模块

攻击发起后，分析模块必须解析和解释服务器响应。分析模块使用特定于攻击的响应标准和关键字来计算置信值，以决定攻击是否成功。显然，当大量网站被扫描时，错误的阳性结果是可能的。因此，在确定置信值时需要谨慎，以减少误报。

4.攻击和分析概念

对于我们的SecuBat原型实现，我们提供了用于常见SQL注入和XSS攻击的插件。就XSS攻击而言，我们提出了三种不同的变体，其复杂性不断增加。

4.1 SQL注入

为了测试web应用程序是否存在SQL注入漏洞，每个表单字段使用一个单引号()字符作为输入值。如果被攻击的web应用

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[589851]，资料为PDF文档或Word文档，PDF文档可免费转换为Word