基于XML的Web应用安全缺陷特征库设计.pdfVIP

基于 XML 的Web 应用安全缺陷特征库设计* 丁妮 ，顾韵华 （南京信息工程大学计算机与软件学院 南京 210044 ） 摘要：分析了 Web 应用中存在的主要安全缺陷，设计了一种基于 XML 的 Web 应用安全缺 陷特征库模型—WAML ，讨论了WAML 的具体描述内容，并给出了Web 应用安全管理系统 的设计方案。 关键词：Web 应用；安全缺陷；WAML ；XML 中图分类号：TP393.08 文献标识码：A A Description Schema of Web Application Vulnerability Based on XML Ding Ni , Gu Yunhua (School of Computer and Software , Nanjing University of Information Science and Technology , Nanjing , Jiangsu , 210044) Abstract: The common vulnerabilities existed in the current Web applications are pointed out and the present description methods of vulnerability are analyzed. Thus WAML(Web Application Markup Language)—a Web application description schema is designed based on XML and the specification of the module is discussed in detail.Then a model of Web Application Security Management System is discussed. Keywords: Web Application; vulnerability; WAML; XML 1 引言 Web 应用日益广泛，安全问题也随之突出，Web 站点成为黑客攻击的主要对象，因此 Web 安全问题也成为人们关注的网络安全核心问题之一。OWASP 将 Web 应用中的主要安全 漏洞分成了 10 大类别，即参数篡改、脆弱的访问控制、脆弱的帐号和会话管理、跨站脚本 攻击、缓冲区溢出、命令插入、错误处理问题、不安全的加密、远程管理漏洞和错误配置。 由于Web应用系统的复杂性，目前国内外对Web应用安全尚没有统一的标准定义。已有 一些研究组织（如OASIS、OWASP、Sanctum）致力于该问题的探讨和研究。目前受到广泛 认可的研究成果是OWASP对Web应用安全缺陷的分类及OASIS发布的应用易损性描述语言 AVDL(Application Vulnerability Description Language) 。国外已有一些Web应用安全产品，如 APPScan 、ScanDo、WebInspect等，但这些产品技术细节是保密的。国内除了一些简单的CGI 漏洞扫描器外，还没有单独的Web应用安全产品。因此，研制Web应用安全管理系统是必要 的，而Web应用安全管理系统的基础是建立安全缺陷特征库。 在 Web 应用安全缺陷特征描述方面，目前可借鉴的主要成果是 CVE 和 AVDL 。 CVE(Common Vulnerabilities Exposures) 由Miter Corporation 于 1999 年开发，定义了以字典 目录的方式来组织漏洞信息。CVE 虽很好地映射了各个安全漏洞源信息，但无法实现数据 共享。AVDL 是由 OASIS 于 2004 年发布的基于 XML 的安全互通新标准，但其描述中数据 结点的内容是高度集成的，难以直接应用于 Web 应用安全缺陷特征库的建立。 本文在研究了CVE和AVDL对漏洞描述技术的基础上，设计了一种基于XML 的Web应用