Web安全测试用例设计研究.docVIP

Web安全测试用例设计研究 　　摘要：Web应用软件的使用日益广泛，为了保证软件的安全性，Web安全测试必不可少，而设计全面、有效的安全测试用例则是关键。该文对Web安全漏洞进行了分类，研究了Web安全测试内容，阐述了安全测试用例设计原则。 　　关键词：Web应用软件；安全测试；用例设计 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）07-0032-02 　　Research on Case Design for Web Security Test 　　HE Ying-jie ， ZHAO Zheng-hai 　　（Unit 91404， Qinhuangdao 066001， China） 　　Abstract：Web application software is used more and more widely. In order to guarantee the safety of the software， it is necessary to execute Web security test and the key is to design comprehensive and effective security test cases. In this paper， web security vulnerabilities are classified and web security test content is studied. Finally， the principle of case design for security test is expounded. 　　Key words： Web application software； security test； case design 　　1概述 　　随着电子商务和互联网的广泛应用，Web应用软件被越来越广泛的使用。除了传统的应用如电子邮件、新闻网站等，目前Web应用软件也被越来越多的关键性任务使用，例如互联网证券、互联网银行、网络购物等涉及金钱交易的应用，以及政府部门的电子政务等业务通过互联网来开展等。上述关键性的应用对软件安全的要求越来越高，假如由于软件的不安全造成系统被破坏或信息被泄露，将会给国家、集体甚至个人带来巨大的损失。所以，确保Web应用软件的安全是非常重要的，设计全面、有效的安全测试用例则是重中之重。 　　2常见Web安全问题 　　研究Web应用软件的安全性测试技术，首先应对已知的应用软件安全问题进行研究，了解各种漏洞产生的原因、触发的条件、造成的后果，抽象出各类漏洞的特征，进行科学的分类，才能有效指导安全性测试工作，保障其科学性、高效性和针对性。OWASP（The Open Web Application Security Project）是一个致力于web应用安全的国际组织，OWASP分析实际应用中经常出现的安全漏洞，并对各类漏洞进行总结描述，发布每年度的最危险的十大漏洞，能够很好地反映Web安全所面临的威胁和这些威胁的发展趋势，被众多权威性机构（如美国国防部、国际信用卡数据安全技术标准、美国联邦贸易委员会等）列为应用程序安全规范。根据OWASP提出的Web应用安全漏洞数据分布来看，Web应用程序面临的安全形势依然严峻，常见的安全问题包括： 　　1）注入式攻击。例如SQL、OS以及LDAP注入，发生在不受信任的数据作为一条指令或是查询要求的一部分被发往解释程序之时。攻击者所植入的恶意数据可以骗过解释程序，导致该指令或查询要求在无意中被执行。 　　2）跨站点脚本（简称XSS） 。每当一个应用程序携带了不受信任的数据并将其发送至页面浏览器而又未经过相关验证及转换解析时，XSS类漏洞就会蠢蠢欲动。XSS允许攻击者在受害者的浏览器中执行脚本，这会导致用户的会话遭受劫持、网站受到破坏或者是将用户的访问目标重新定向至某些恶意网站。 　　3）无效的认证及会话管理功能。应用程序的相关认证及会话管理功能在执行过程中常常发生各种问题，导致攻击者有可能获取到密码、密钥、会话授权或是通过利用其他执行性漏洞来盗取用户身份。 　　4）对不安全对象的直接引用。当开发者公开引用某种对内部执行对象，例如索引系统、一个文档或是数据库关键信息时，就有可能发生这种不利情况。由于缺乏访问控制检查等安全保护措施，攻击者能够利用引用信息对未获授权的数据进行访问。 　　5）伪造的跨站点请求 （简称CSRF）。CSRF类攻击的特点是，强迫受害者的某个已进行登录操作的浏览器向安全保护薄弱的页面应用程序发送一条伪造的HTTP请求，包括受害者会话缓存内容及其他任何自动产生的包含认证信息的内容。这就导致