Web服务安全性试技术问题研究.docVIP

Web服务安全性测试技术问题研究 　　摘要：Web服务组合安全性检测对提高Web服务的安全性具有重要意义。针对Web应用安全存在的主要8种漏洞，在建立测试框架的基础上，提出安全检测关键技术的实现方法，为提高Web服务安全性提供技术参考。 中国论文网 /1/viewhtm　　关键词：安全性测试；Web服务；漏洞；测试框 　　中图分类号： TP393 文献标识码：A 文章编号：1674-1161（2016）03-0036-03 　　1969年互联网在美国诞生，1994年我国与国际互联网成功连接，标志着我国互联网步入新时代。经过20多年的发展，我国的互联网实现了从无到有，并且规模越来越大，现已经成为世界第二大网络大国。据《中国互联网络发展状况统计报告》（中国互联网络信息中心2016年1月22日第37次权威发布）显示，截至2015年12月，我国网民规模达6.88亿，互联网普及率达50.3%，半数中国人已接入互联网。伴随着互联网的快速发展，以社交网络、电子商务等为代表的Web服务正在深刻地改变着人们的生活方式，甚至影响着整个社会发展进程。 　　1 Web服务的基本概念及组成 　　Web服务作为一种远程访问的标准，具有松散耦合、平台无关、交互性、语言中立等优点，通常作为分布式应用实现的技术基础。Web应用系统组成十分复杂，正因为其复杂组件和彼此间复杂的关系，所以才能为用户提供强大服务。Web应用系统核心组件包括用户接口代码、前端系统、服务器软件、后台系统、数据库系统等。 　　2 Web服务安全性测试的重要意义 　　Web应用当前已经成为软件开发的重要组成部分。由于开发人员技术水平有限或者安全意识比较薄弱，每一个Web系统自身都存在着一定的安全漏洞，并在使用过程中逐渐暴露出来，入侵者就可能利用漏洞到Web应用上进行恶意攻击。Web系统中有大量信息，其中许多信息涉及个人隐私或是企业关键性业务等，一旦Web服务安全性出了问题，可能会给个人或企业造成重大损失和带来严重后果。虽然当前入侵检测、防火墙等技术已经相对成熟，可以为Web系统提供一定的安全防护，但是对Web应用的恶性攻击大多来自于应用层，完全解决各种安全性问题的难度非常大。在此情况下，Web服务安全性测试具有重大现实意义。 　　3 Web应用安全漏洞 　　Web应用安全漏洞是指一个Web系统的所有组件在设计、实现或者操作和管理中存在的可能被入侵者利用的缺陷和弱点。常见的Web应用安全漏洞主要有以下8个类别。 　　3.1 未被验证的输入 　　入侵者通过篡改HTTP请求越过站点安全机制，主要包括缓冲区溢出、跨站点脚本、SQL注入、格式化字符串攻击等输入篡改攻击方式。HTTP请求主要包括查询字符串、Cookie、HTTP头部、URL、表单等。 　　3.2 SQL注入 　　SQL注入是最普遍、最严重的Web应用安全漏洞。入侵者通过在输入域中插入某些特殊字符，完全改变SQL查询的自身功能，欺骗数据库服务器进行非法操作，从而达到破坏数据库或非法获取数据清单的目的。 　　3.3 跨站点脚本 　　入侵者在Web浏览器客户端通过页面提交的输入数据嵌入恶意代码，如果服务器不经过滤或转义直接将这些数据返回，那么这些恶意代码在其他用户访问该Web页面时将被执行，从而实现其恶意攻击的目的。 　　3.4 缓冲区溢出 　　入侵者利用缓冲区溢出漏洞向Web应用发送特定请求，使目标Web应用执行其设定的代码。 　　3.5 隐藏的字段 　　在正常操作中，用户可以执行Web浏览器中的“查看源文件”，并查看字段内容，通过手工修改参数值，再传回给服务器端。入侵者通过对HTML源文件中的这些隐藏字段进行修改实现恶意目的。 　　3.6 不恰当的异常处理 　　用户向Web应用提交正常请求时，可能频繁产生内存不足、系统调用失败、数据库链接错误等异常情况。如果不能进行恰当处理，堆栈追踪、数据库结构、错误代码等内部错误信息很可能被入侵者获知，带来一定的安全隐患。 　　3.7 远程命令执行 　　用户提供的输入数据在没有经过适当验证情况下，就可以通过Web服务器进行传递。入侵者可能利用这个漏洞，使目标Web应用执行他的命令。 　　3.8 远程代码注入 　　这一安全漏洞通常是由Web应用开发者存在不良编码习惯引起的，如允许没有经过验证的用户输入，造成本地应用或远程的PHP代码被包含进来。这一漏洞被入侵者利用，实现其向目标Web应用中注入其他PHP代码的目的。 　　4 Web服务安全性测试技术 　　为保障Web服务安全，消除潜在的漏洞隐患，一方面Web服务要在用户的身份标识和验证级别上集成Web站点安全；另一方面要在服务器与用户进行信息交换的过程增加安全防范措施。目前，通常在身份验证/授权、传输层安全、应用层安全3个领域采取安全