对Web安全性测试技术研究.doc

对Web安全性测试技术研究【 摘 要 】 随着互联网技术水平的不断提高，Web应用发展成为软件开发的一个主流方向，同时其本身存在的一系列安全漏洞也开始不断暴露，埋下了严重的安全隐患。鉴于此，本文基于Web安全性测试技术进行相应探讨。 【 关键词 】 Web安全性测试；应用系统；分析 Web Security Testing Techniques for Analysis Jia Di Huang He-tao （Sichuan Province Public Security Department of Motor Vehicle Safety Inspection Center SichuanChengdu 610036） 【 Abstract 】 With the increasing levels of Internet technologies， Web application development to become a mainstream software development， while its inherent security flaws have begun a series of constantly exposed， buried a serious security risk. In view of this， the paper-based Web security testing techniques discussed accordingly for easy reference. 【 Keywords 】 web security testing； applications； analysis 1 引言 由于互联网技术水平的提升，Web应用发展成为软件开发的大趋势，但是本身也会涌现出安全漏洞，带来了某些安全隐患。所以要积极对Web安全性测试技术进行有效的分析。 2 Web安全性测试概述 2.1 Web的组成 Web应用系统具有高度完整性，其实际组成是比较复杂的，正是由于复杂组件及彼此间复杂关系的存在，才能为用户提供更为强大的服务。如和Web站点进行实时而便捷的交互，从而让Web应用系统所涉及的活动均能够通过后台数据库接口共享。一个完整的Web应用系统主要包括的核心组件：用户接口代码、Web应用服务器软件、前端系统、后台系统、数据库系统等。 2.2 Web安全性测试的意义 随着互联网技术水平的不断提高，Web应用发展成为软件开发的一个主流方向，同时其本身存在的一系列安全漏洞也开始不断暴露。正是由于这些漏洞的存在，加大了Web应用被恶意攻击的可能，这将会导致一系列损失严重的连锁反应。Web 应用之所以存在安全漏洞，可能受限于开发人员技术水平或者安全意识薄弱，但大部分原因在于没有重视和实施全面且彻底的安全性能测试。由此可见，Web安全性测试具有相当积极的现实意义。 3 Web应用安全漏洞 现阶段，Web应用中较为典型的安全漏洞主要包括八大类。 未被验证的输入――入侵者对HTTP请求的相关部分进行窜改，从而突破站点的安全机制。 SQL注入――SQL注入指的是，入侵者在输入域中插入某些特殊字符，更改SQL查询的原有功能，骗过数据库服务器以完成有目的的非法操作。 跨站点脚本――跨站点脚本指的是，入侵者于客户端通过Web页面提交的输入数据中嵌入某些恶意代码，如果服务器对该类数据不做过滤处理便予以直接返回，那么其他用户打开该Web页面之后，恶意代码将会在他们的客户端被执行，从而满足入侵者目的。 缓冲区溢出――发送某些特定请求给Web应用，使后者执行相关代码。 隐藏的字段――入侵者修改HTML源文件中的相关隐藏字段，从而满足入侵目的。 不恰当的异常处理――不恰当的异常处理有可能把相关内部错误信息提供给入侵者，如此一来，给Web应用埋下了极大的安全隐患。 远程命令执行――Web服务器在某些情况下可能将用户的一些输入数据未经处理便简单地传递给其他操作系统，给入侵者留下了可趁之机。 远程代码注入――导致这一漏洞的绝大多数原因在于，Web开发者存在不科学的编码习惯，如允许那些没有经过验证的用户输入，导致本地应用或者远程PHP代码被人为包含进来，给入侵者提供了机会。 4 Web安全性测试技术 4.1 Web应用安全性测试框架 Web应用安全性测试框架如图1所示。该框架主要包括五个不同阶段。 阶段一：威胁建模――对安全目标进行有效确定，对可能的威胁漏洞予以确定与评级。 阶段二：测试需求――根据软件具体需求以及威胁剖面这两大要素，对测试对象以及内容予以