当前位置:文档之家 › Web安全性测试技术综述_于莉莉

Web安全性测试技术综述_于莉莉

  • 格式:pdf
  • 大小:422.42 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

Web安全测试

Web安全测试

Web安全测试Web安全测试是指对Web应用程序进行安全性检测和评估的过程,旨在发现潜在的安全漏洞和弱点,以保护Web应用程序免受恶意攻击和数据泄露。

在当今数字化时代,Web安全测试变得愈发重要,因为Web应用程序承载了大量的敏感数据和个人信息,一旦遭受攻击,将会给个人和组织带来严重的损失。

因此,进行Web安全测试是保障信息安全的重要举措。

首先,Web安全测试需要从多个角度入手,包括但不限于网络安全、应用安全、数据库安全、身份验证和授权等方面。

在进行测试时,需要考虑常见的安全漏洞,如跨站脚本攻击(XSS)、SQL注入、跨站请求伪造(CSRF)等。

通过模拟黑客攻击的方式,测试人员可以发现并修复这些漏洞,以提高Web应用程序的安全性。

其次,Web安全测试需要采用多种测试方法和工具。

常见的测试方法包括静态测试和动态测试。

静态测试是指在不执行代码的情况下对Web应用程序进行分析,以发现潜在的安全问题。

而动态测试则是在应用程序运行时进行测试,以模拟真实环境中的攻击行为。

此外,还可以利用自动化测试工具,如Burp Suite、Nessus、OpenVAS等,来提高测试效率和发现潜在漏洞。

另外,Web安全测试需要持续进行,而不是一次性的工作。

随着Web应用程序的不断更新和演变,新的安全漏洞也会不断出现。

因此,定期进行安全测试是至关重要的。

同时,及时修复发现的安全漏洞也是保障Web应用程序安全的重要步骤。

最后,Web安全测试需要全员参与,而不仅仅是测试人员的责任。

开发人员、运维人员、安全团队等都应该意识到安全测试的重要性,并积极参与到安全测试的工作中。

只有全员共同努力,才能够有效地保护Web应用程序免受攻击。

总之,Web安全测试是一项复杂而又必不可少的工作。

通过采用多种测试方法和工具,持续进行安全测试,并让全员参与其中,才能够有效地保障Web应用程序的安全。

希望各个组织和个人都能够重视Web安全测试,共同维护一个安全可靠的网络环境。

Web数据库系统安全技术综述

Web数据库系统安全技术综述

Web数据库系统安全技术综述作者:*** 指导老师:***摘要:Web数据库是基于Internet/Intranet的应用系统,由于互联网的开放性和通信协议的安全缺陷,以及在网络环境中数据存储和对其访问与处理的分布性特点,网上传输的数据容易受到破坏、窃取、篡改、转移和丢失。

这些危害通常是对网络的攻击引起的。

到现在,针对Web数据库的应用级入侵已经变得越来越严重,如何保证Web数据库的安全性已成为新的课题。

本文阐述了Web数据库及其安全性的定义,并由目前数据库面临的安全威胁引出了当前Web数据库的各种安全技术。

关键词:Web数据库数据库入侵安全技术引言:Web数据库是数据库技术与Web技术的结合,这种结合集中了数据库技术与网络技术的优点,既充分利用了大量已有的数据库信息,用户又可以很方便地在Web浏览器上检索和浏览数据库的内容。

但是Web数据库是置于网络环境下,存在很大的安全隐患,如何才能保证和加强数据库的安全性已成为目前必须要解决的问题。

因此对Web数据库安全模式的研究,在Web的数据库管理系统的理论和实践中都具有重要的意义。

1Web数据库及其安全的定义1.1 Web数据库概述随着网络技术的飞速发展,基于Internet/ Internet的B/S(浏览器/服务器)机构的管理信息系统应运而生。

与传统的MIS物理结构不同,该系统只需要在各个客户端简单的安装和运行相同的浏览器,在服务器端安装Web服务器软件和数据库管理系统。

Web数据库将Web技术与数据库技术有机地融合在一起,用户通过浏览器就可以完成对后台数据库中数据的插入、删除、查询和修改等操作[1]。

Web数据库是基于Internet/ Internet的应用系统,由于互联网开放性和通信协议的安全缺陷,以及在网络环境中数据存储和对其访问与处理的分布性特点,网上传输的数据容易受到破坏、窃取、篡改、转移和丢失。

这些危险通常是对网络的攻击引起的。

到现在,针对Web数据库应用级入侵已经变得越来越猖獗,如SQL注入、跨站点脚本攻击和未经授权的用户访问等。

试论Web应用系统的安全性测试技术

试论Web应用系统的安全性测试技术
增 强 We b应 用 系统 安 全 性 的 测试 途 径 。
关键 词 :We b应 用 ; 安全 风 险 ; 安 全 性 测 试
Di s c u s s i o n o n t h e We b Ap p l i c a t i o n S y s t e m S e c u r i t y Te s t i n g Te c h n o l o g y
1 引言
如今 ,人们逐 渐将很多重要 的信息都存储 在 We b应用 系
统 中,随着 网络事务量 的增 多 ,对 于 We b应用 系统的安全性 测试也 变得重要起来 。所谓 We b应用系统 的安 全性测试主要 指 的是 保证其 中存储数据 的机密性 以及确保 被授权 的用户 在
以下几个核心组件 。 用户接 口代码 :用户接 口代码是 We b 应用 系统 的表示层 ,
它是将客 户端和 We b服务器相连 的一个 接 口,正是用 户接 口
代 码 创 建 了 站 点 的 可 视 界 面 ,其 编 写 方 式 主 要 以 J a v a ,
J a v a S c r i p t ,V B,H T M L以及 A c t i v e X为 主 。
其授权 范围 内进行活 动的一个过程 。比如确保 We b应用 系统 中存储 的信 息不会被非 授权用户读 写或下 载 ,被授 权使用 的 用 户只能在其 特定 的范围 内活动 ,无法 阅读超 出这个范 围之 外 的信息 。对 We b应用 系统 进行安全性测试 主要是为 了寻找 系统中存在 的各种安 全漏洞 ,而并不 能完全验证该 We b服务
Ab s t r a c t : F o r t h e c u r r e n t We b a p p l i c a t i o n s y s t e m s e c u i r t y r e s e a r c h s t i l l s t a y s i n t h e s e c u it r y s e r v i c e s o n t h e b a s i s o f t h e

Web应用的测试与安全

Web应用的测试与安全

Web应用的测试与安全随着互联网的快速发展,Web应用程序的使用范围越来越广泛。

虽然这些应用程序带来了巨大的便利性和创新,但它们也面临着测试和安全性方面的挑战。

本文将探讨Web应用的测试方法和提高安全性的措施。

一、Web应用的测试方法Web应用的测试是确保其功能正常、性能稳定并且与用户期望一致的重要步骤。

以下是几种常用的Web应用测试方法:1. 功能测试功能测试是验证Web应用是否按照规格说明书中定义的要求工作的过程。

测试人员通过执行不同的输入、操作和数据组合来测试应用的各种功能。

这样可以确保应用的各项功能能够正常运行。

2. 性能测试性能测试是测试Web应用在不同负载下的性能表现。

测试人员会模拟多重用户并发访问应用,以测量其响应时间、吞吐量和资源利用率。

通过性能测试,可以确定应用的瓶颈,以便对其进行优化和调整。

3. 安全性测试安全性测试是评估Web应用程序的安全性和抗攻击能力的过程。

测试人员会模拟各种安全威胁和攻击方法,以检测应用程序是否容易受到黑客攻击或数据泄露。

安全性测试可以揭示潜在的漏洞,并提出相应的修复建议。

二、提高Web应用的安全性保障Web应用程序的安全性对于用户的信任和数据的保护至关重要。

以下是几种提高Web应用安全性的常见措施:1. 输入验证Web应用中的输入验证是防止恶意用户提交危险数据的重要手段。

应用程序必须对用户的输入进行严格的验证和过滤,以防止跨站脚本攻击(XSS)和SQL注入等常见安全漏洞。

2. 访问控制访问控制是限制用户对敏感数据和功能的访问权限的重要措施。

通过正确设置用户角色、权限和身份验证机制,可以确保只有经过授权的用户才能访问和修改相应的数据。

3. 定期更新和修复Web应用程序通常存在一些已知的漏洞和安全问题。

为了提高安全性,开发人员必须及时关注并安装相关的安全补丁和更新。

同时,定期对应用程序进行安全扫描和漏洞测试,并及时修复发现的问题。

4. 数据加密对于传输和存储敏感数据的Web应用程序,使用适当的加密算法是保护数据安全的有效方式。

web安全测试方案

web安全测试方案

web安全测试方案为了确保网络系统的安全性,保护用户的个人信息和敏感数据,Web安全测试是一项至关重要的工作。

本文将介绍一种Web安全测试方案,用于评估和改进网站的安全性。

一、测试目标和范围Web安全测试的首要目标是发现潜在的漏洞和弱点,以及评估现有安全措施的有效性。

测试的范围包括但不限于以下几个方面:1. 网络架构和配置:测试网络架构和相关配置的安全性。

2. 系统和应用程序:测试各种系统和应用程序中的安全漏洞。

3. 数据库和存储:测试数据库和存储系统中的安全性。

4. 用户验证和访问控制:测试用户验证和访问控制机制的有效性。

5. 防火墙和入侵检测系统:测试防火墙和入侵检测系统是否正常工作。

6. 传输层安全:测试传输层安全协议和机制的可靠性。

二、测试方法和工具在进行Web安全测试时,可以采用以下多种方法和工具:1. 黑盒测试:模拟攻击者的行为,通过对系统进行渗透测试,评估系统的漏洞和弱点。

2. 白盒测试:对系统的内部结构和代码进行审查,检查潜在的安全风险。

3. 网络扫描:使用自动化工具扫描目标系统,识别可能存在的漏洞。

4. 代码审查:仔细审查系统的源代码,发现潜在的安全问题。

5. 社会工程学测试:通过模拟攻击者的社交工程手段,测试用户的安全意识和反应能力。

三、测试阶段和步骤Web安全测试应该按照以下几个阶段进行:1. 确定测试目标和范围:明确测试的目标和范围,并制定测试计划。

2. 收集信息和准备工作:收集与目标系统相关的信息,包括网络架构、应用程序、数据库等。

3. 漏洞扫描和渗透测试:使用合适的工具对系统进行扫描,识别潜在的漏洞,并进行渗透测试。

4. 审查代码和配置:对系统的内部代码和配置文件进行审查,查找可能存在的安全问题。

5. 社会工程学测试:通过向系统用户发送钓鱼邮件、进行电话欺诈等方式,测试用户的反应和安全意识。

6. 报告编写和总结:对测试结果进行整理和总结,并编写测试报告,提供改进建议和安全加固措施。

对Web安全性测试技术的分析

对Web安全性测试技术的分析

对Web安全性测试技术的分析作者:贾迪黄河滔来源:《信息安全与技术》2014年第05期【摘要】随着互联网技术水平的不断提高,Web应用发展成为软件开发的一个主流方向,同时其本身存在的一系列安全漏洞也开始不断暴露,埋下了严重的安全隐患。

鉴于此,本文基于Web安全性测试技术进行相应探讨。

【关键词】 Web安全性测试;应用系统;分析Web Security Testing Techniques for AnalysisJia Di Huang He-tao(Sichuan Province Public Security Department of Motor Vehicle Safety Inspection Center SichuanChengdu 610036)【 Abstract 】 With the increasing levels of Internet technologies, Web application development to become a mainstream software development, while its inherent security flaws have begun a series of constantly exposed, buried a serious security risk. In view of this, the paper-based Web security testing techniques discussed accordingly for easy reference.【 Keywords 】 web security testing; applications; analysis1 引言由于互联网技术水平的提升,Web应用发展成为软件开发的大趋势,但是本身也会涌现出安全漏洞,带来了某些安全隐患。

所以要积极对Web安全性测试技术进行有效的分析。

Web应用程序安全性测试平台关键技术研究

理论 探 讨 ・ T h e o r e t i c a l D i s c u s s i o n
We b 应 用程序安全性 测试平 台 关键 技 术研 究
孙 熠 粱栋 云 王 文 杰
( 北京 邮 电大 学 北 京 1 0 0 8 7 6 )
【 摘
要 】 随着 We b应 用 的不 断深 化 和 推广 , 对 应 的 We b漏 洞 和恶 意 攻 击层 出不 穷 , 使得高效 、 准确 地 测试 评 估
mo d e l f o r t e s t i n g we b a p p l i c a t i o n s . 2 0 0 0 : I EEE.
4 . 3 we b 应用安全性测试工具实现技术
根 据 上 述 理 论 和 技 术 ,最 后 实 现 一 个 针 对 W e b应
1 引 言
随着信 息技 术 的快 速发 展 , 越 来越 多 的应 用 开始 通
过 We b形式 对外 提 供 , 方便 快捷 的 We b应 用在 政府 、 企 业、 军 队等都 得 到 了广 泛应 用 。然 而 , 不 安 全 的 We b应 用 使得 我 国金融 、 医疗 、 国防、 能源 和其 他 重要 网络 架 构 面 临严 峻 的安全 威胁 。 随 着数字 化架 构变 得越 来越 复 杂 并 相互 关联 .实现 We b应 用程 序 安全 的难 度也 呈 指数
【A b s t r a c t】 A l o n g w i t h t h e d e v e l o p m e n t o f We b a p p l i c a t i o n , i t i s u r g e n t t o t e s t a n d e v a l u a t e t h e s e c u r i t y o f W e b a p p l i c a t i o n e f f i c i e n t l y t o w i t h s t a n d t h e

WEB安全研究 文献综述

WEB安全研究金丽君摘要:本文主要针对WEB安全问题越来越引起人们的重视这一现状,初步地介绍了国内外对WEB安全问题的研究现状,全面地介绍和分析了WEB服务和应用中存在的各种威胁,并探讨了WEB安全问题的防护对策,来提高计算机网络的安全性。

关键词:WEB安全、安全威胁、安全防护Abstract:This article will focus WEB security has drawn increasing attention to this situation, the initial introduction to security issues at home and abroad on the WEB Research, a comprehensive description and analysis of the WEB services and applications that exist in a variety of threats, and to explore the WEB security protection measures.一、引言1.1研究背景及目的随着网络时代的来临,人们在享受着网络带来的无尽的快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险,网上信息的安全和保密是一个至关重要的问题。

网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性,计算机网络的安全以及防范措施已迫在眉睫。

网络安全评估技术是评价计算机网络安全的重要手段,现今在众多的安全技术中已经占据越来越重要的位置。

通过风险评估,对系统进行细致而系统的分析,在系统分析的基础上对系统进行综合评价,最后通过评价结果来了解系统中潜在的危险和薄弱环节,并最终确定系统的安全状况,为以后的安全管理提供重要依据。

随着Internet的普及,人们对其依赖也越来越强,但是由于Internet的开放性,及在设计时对于信息的保密和系统的安全考虑不完备,造成现在网络的攻击与破坏事件层出不穷,给人们的日常生活和经济活动造成了很大麻烦。

Web服务安全测试方法

Web服务安全测试方法随着网络技术的快速发展,Web服务在我们的日常生活中扮演着越来越重要的角色。

然而,由于Web服务的开放性和广泛的使用,它们也更容易受到各种网络攻击的威胁。

为了确保Web服务的安全性,我们需要进行全面而系统的安全测试。

本文将介绍一些常见的Web服务安全测试方法,以帮助您保护您的Web服务免受潜在的安全威胁。

一、需求分析在进行Web服务安全测试之前,首先需要进行需求分析。

需要明确测试的范围和目标,确定测试的重点和重要性。

这包括确定应用程序的功能和用户需求,捕捉潜在的安全风险,以及评估系统的可用性和性能。

二、漏洞扫描与分析漏洞扫描是一种用于检测和识别系统安全漏洞的技术。

通过扫描Web服务系统中的漏洞,可以发现系统存在的各种潜在威胁。

这些威胁可能包括SQL注入、跨站点脚本攻击、文件包含等。

漏洞分析则是对扫描结果进行分析和评估,确定哪些漏洞具有较高的风险,并制定相应的修复方案。

三、认证与授权测试认证和授权是Web服务安全的基本要素。

在进行安全测试时,应验证系统对用户身份的认证和对用户权限的授权是否有效。

这包括测试密码是否能够被轻易地破解、验证系统是否可以识别和限制非法用户、确保用户只能访问其具备权限的资源等等。

四、会话管理测试会话管理是指在用户与Web服务之间建立和维护会话的过程。

在安全测试中,应测试系统是否能够正确地管理用户会话,防止会话劫持和会话破解等安全威胁。

会话管理测试通常包括测试会话过期时间、会话令牌的生成和验证、以及会话注销的功能等。

五、输入验证测试输入验证是保护Web服务免受输入中的恶意代码攻击的重要措施。

在进行输入验证测试时,应对用户提交的数据进行各种测试,以验证系统是否能够正确地对数据进行过滤和验证。

这可以包括测试是否存在SQL注入漏洞、跨站点脚本攻击的威胁等。

六、错误处理与异常测试错误处理和异常处理是Web服务应对错误和异常情况的能力。

在安全测试中,应测试系统在面对各种错误和异常情况时的响应和处理能力。

Web 安全技术的最新研究进展综述

Web 安全技术的最新研究进展综述互联网已经变成了人们生活中不可或缺的一部分,人们越来越依赖互联网进行各种活动。

随着网络技术的不断发展,Web 应用程序不断涌现,网络威胁也变得更加复杂和危险。

因此,Web 安全问题也越来越引人关注。

本文将对 Web 安全技术的最新研究进展进行综述。

一、Web 应用程序的安全保障Web 应用程序从诞生之初就是以可通过浏览器访问的方式开放的,由于 Web 应用程序的开放性和易攻击性,使得 Web 安全问题威胁逐渐增加。

为了保证 Web 应用程序的安全,研究人员涌现了许多新的技术手段,其中一些最新的安全技术是以下几种。

1、Web 应用程序防火墙Web 应用程序防火墙(WAF)是目前用于保护 Web 应用程序最常用的技术之一。

WAF 基于配置参数和规则模式对 Web 应用程序的 HTTP 流量进行筛选,能够检测到并阻止各种针对 Web 应用程序的攻击,如跨站点脚本攻击(XSS)、SQL 注入攻击等等。

由于 WAF 的强大防御能力,其对 Web 应用程序的保护作用越来越受到关注。

2、Web 应用程序扫描器Web 应用程序扫描器是一种用于识别 Web 应用程序漏洞和安全漏洞的工具。

它可以通过检测 Web 应用程序的输入和输出,识别出其存在的安全漏洞,并提供相应的修复措施。

Web 应用程序扫描器的出现,使得程序员更容易了解其程序中存在的漏洞,并更加精确和高效地对其进行修复。

3、Web 应用程序加密Web 应用程序加密是一种用于保护 Web 应用程序的敏感数据的技术。

它通过加密算法对 Web 应用程序的数据进行加密,在传输过程中达到数据加密、数据保密的目的。

Web 应用程序加密技术的应用,能够保障 Web 应用程序本身和数据安全的有效性。

二、Web 安全的未来展望随着技术的不断进步,Web 安全的加强逐渐成为 Web 应用程序的必须要素之一。

1、人工智能和机器学习人工智能和机器学习是未来 Web 安全的一个重要趋势。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
[6 ]
攻击者可以利用这个漏洞发送特定请求给 Web 应用, 使 其执行任意代码。 5 ) 隐藏的字段 “查看源文件” 用户可以通过在 Web 浏览器中执行 等操作 然后手工修改这些字段的参数值, 再通 查看这些字段的内容, 过 URL 参数传回给服务器端。攻击者可以通过修改 HTML 源 文件中的这些隐藏字段达到恶意攻击的目的 。 6 ) 不恰当的异常处理 用户提交给 Web 应用的正常请求有可能频繁地产生错误 和异常情况, 如内存不足、 系统调用失败、 数据库链接错误等。 不恰当 的 异 常 处 理 会 将 详 细 的 内 部 错 误 信 息 如 堆 栈 追 踪 ( stack trace) 、 数据库结构以及错误代码等提供给攻击者, 给 Web 应用带来安全隐患。 7 ) 远程命令执行 Web 服务器可能简单地将用户提供的输入数据传递给其 他应用或操作系统本身 。 如果这些输入数据没有经过适当的 验证, 那么攻击者就可以直接执行目标系统上的命令 。 8 ) 远程代码注入 引起这个漏洞的主要原因是 Web 应用开发者不良的编码 习惯, 如允许将未经验证的用户输入传递给如 include ( ) 或 require( ) 这样的方法, 这将允许本地应用或远程的 PHP 代码 攻击者可将他们自己的 PHP 代码注 入 到 目 标 被包含进来, Web 应用中。
[5 ]
。该定义中提到的需求通常包括了
基金项目: 二炮研究院青年创新基金资助项目( 2011619 ) ; 国家自然科学基金资助项目
ቤተ መጻሕፍቲ ባይዱ
123@ 263. net ) ; 杜蒙杉( 1978-) , 作者简介: 于莉莉( 1978-) , 女, 河南开封人, 博士研究生, 主要研究方向为回归测试、 质性研究方法、 软件维护( xueer辽宁沈阳人, 工程师, 主要研究方向为软件工程; 张平, 工程师, 主要研究方向为软件测试; 纪琳俐, 高级工程师, 主要研究方向为软件安全.
发展。在我国的中国互联网络信息中心( CNNIC ) 2012 年 1 月 《中国互联网络发展状况统计报告 》 发布的 中指出: 截止 2011 年 12 月, 网民规模达到 5 亿, 互联网普及率攀至 38. 3%
[1 ]

Web 应用也逐渐 互联网已经成为一项重要的社会基础设施, 社交网络、 博客、 论坛 成为软件开发的主流之一 。以电子商务、 社区为代表的 Web 应用已经在人们的生活中扮演了越来越重 并逐渐改变了人们的生活方式 。 要的角色, 但在 Web 应用中存在的各种安全漏洞也逐渐暴露出来, 这些漏洞可能导致 Web 应用遭受各种攻击, 严重影响了社会 《Sy稳定、 经济发展和人们的正常生活 。根据 Symantec 发布的
。在 Web 应用测试中, 利用模糊测试技术有目的
地构造大量的有效或者无效的用户输入数据提交给 Web 应 用, 同时能够通过多种方式监测 Web 应用的行为, 进而分析任 何引起 Web 应用出现异常甚至崩溃的原因, 将有 助 于 发 掘 Web 应用中存在的安全漏洞和隐患, 最终达到提高 Web 应用 安全性的目的。
首先介绍了 Web 应用安全威胁分类, 总结了常见的 Web 应用 安全 漏洞; 然 后对当前 Web 安全性测试技术 的 研 究进行了全面概述, 比较了静态技术和动态技术各自的优缺点, 同时对在 Web 安全性测试中新 兴涌现的模糊 测 试技术进行了详细的介绍和总结; 最后指出了 Web 安全测试中有待解决的问题以及未来的研究方向。 关键词: Web 应用安全漏洞; 静态分析; 动态分析; 模糊测试 中图分类号: TP391 文献标志码: A 文章编号: 1001-3695 ( 2012 ) 11-4001-05 3695. 2012. 11. 001 doi: 10. 3969 / j. issn. 1001-
1
Web 应用安全漏洞
RFC 2828 将漏洞定义为系统设计 、 实现或者操作和管理
中存在的缺陷和弱点, 可能被攻击者所利用, 从而突破系统的 安全策略, 访问未授权的资源和数据
[7 ]
。 Web 应用安全漏洞
Web 则可以定义为一个 Web 系统的各个组件( 包括 Web 应用、 服务器、 数据库等) 在设计与实现以及安全策略上的漏洞 。 Web 应用安全协会 ( Web Application Security Consortium, WASC) [8] 的 Web 安全威胁分类( threat classification, TC ) 项目 将 Web 应用安全威胁分为如表 1 所示的六类。
· 4002·
计 算 机 应 用 研 究
到攻击者的恶意目的。 4 ) 缓冲区溢出
第 29 卷
软件功能、 性能、 可用性、 安全性等诸多方面, 而在传统 Web 应 测试人员更注重对正常功能的验证, 往往忽视 用测试过程中, 安全性方面的需求。 Web 应用作为一种特殊的软件, 面临着 比传统单机软件更为严峻的安全威胁和更为复杂的用户环境 。 因此在 Web 应用发布前对其进行全面彻底的安全性测试, 发 掘 Web 应 用 中 的 安 全 漏 洞 和 潜 在 的 安 全 隐 患 是 非 常 有 必 要的。 在 Web 应用领域中, 发现安全漏洞的常用技术方法有静 态分析技术和动态分析技术 。 模糊测试( fuzzing ) 技术作为软 近年来开始被应用到 Web 件测试研究中一种新的思路和方法, 应用测试领域。Web 应用存在的漏洞和安全隐患很大程度上 是由于对用户的某些输入数据缺乏相应的校验或异常处理机 制造成的
Survey on Web security testing technologies
2 YU Lili1, ,DU Mengshan3 ,ZHANG Ping1 ,JI Lingli4
( 1 . Dept. of Computer Science & Technology,Beihang University,Beijing 100191 ,China; 2 . Software Testing & Evaluation Center of the Second Artillery Force,Beijing 100085 ,China; 3 . Communication Navigation & Auto Command Institute,Air Force Equipment Academy,Beijing 100085 ,China; 4 . The Second Artillery Force Equipment Academy,Beijing 100085 ,China)
[2 ] mantec Internet security threat report 》 , 60% 以上的软件安全
漏洞是关于 Web 应用的。这些安全漏洞可能会导致 Web 应用 SQL 注入、 遭受各种攻击, 如拒绝服务攻击、 窃取用户信息等。 Web 应用的特殊 尽管防火墙、 入侵检测等技术已经比较成熟, 因为 Web 应用 性往往导致防范各类安全性问题的难度很大, 并且可能来自任何在线用户, 甚至包括 攻击通常来自应用层,
表1
Web 安全威胁类别 验证 授权 客户端攻击 命令执行 信息暴露 逻辑性攻击
2
静态分析技术
静态分析( static analysis ) 技术是指在不执行的情况下对
[9 ]
Web 应用安全威胁分类
概念
程序代码进行评估
, 是一种典型的白盒测试方法 。 其基本
思想是通过分析程序的运行流程来构建程序工作的数学模型, 然后对该数学模型进行审查以发掘程序的安全缺陷 。 常见的 静态分析方法主要包括词法语法分析 、 模式匹配分析、 数据流 分析、 补丁比较分析和模型化分析等 。 近年来, 静态分析技术 在 Web 应用安全性测试领域的研究成果主要包括以下内容 。 Jovanovic 等人[10] 实现了针对 PHP 语言的源代码静态分 该工具通过对 PHP 源代码执行静态数据流分析 析工具 Pixy, 来发掘 PHP 应用中 SQL 注入、 跨站点脚本等类型的漏洞, 具有 效率高、 误报率低等优点, 但是存在不能支持 PHP 的面向对象 特性以及无法解决源代码中文件包含等问题 。 类似的工具还 PHPSat 等。 包括 PHP String Analyzer、 Huang 等人[11] 将 Web 应用程序漏洞看做是一个安全信息 流问题( secure information flow problem) , 提出了源自类型系统 并阐述了它的可靠性。 和类型状态的基于格的静态分析算法, 同时, 他们 根 据 该 算 法 实 现 了 WebSSARI 工 具, 并 对 SourceForge. net 上 230 个开源 Web 应用进行了测试, 发现其中 69 个 有安全隐患。 Martin 等人[12] 提 出 了 一 种 目 标 导 向 的 模 型 检 验 ( goaldirected modelchecking) 方法来自动生成测试用例, 发掘由 Jabased ) 的漏洞。 va 开发的大型 Web 应用中基于污点数据( taint他们选取了源代码总行数达到 130 000 行的 3 个大型 Web 应 用进行实验, 发现其中存在的 10 个 SQL 注入漏洞和 13 个跨站 点脚本漏洞。
第 29 卷第 11 期 2012 年 11 月
计 算 机 应 用 研 究 Application Research of Computers
Vol. 29 No. 11 Nov. 2012
Web 安全性测试技术综述 *
1, 2 3 于莉莉 ,杜蒙杉 ,张 1 4 平 ,纪玲利
( 1. 北京航空航天大学 计算机科学与技术系,北京 100191 ; 2. 二炮软件测评中心,北京 100085 ; 3. 空军装备研 究院 通信导航与指挥自动化研究所,北京 100085 ; 4. 二炮装备研究院,北京 100085 ) 摘 要: 对 Web 应用程序进行有效彻底的测试是及早发现安全漏洞、 提高 Web 应用安全质量的一种重 要 手段。