web安测试入门.docVIP

目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc275820784 序言 PAGEREF _Toc275820784 \h 3 HYPERLINK \l _Toc275820785 1 当前 Web 安全现状 PAGEREF _Toc275820785 \h 3 HYPERLINK \l _Toc275820786 2常见针对 Web 应用攻击的十大手段 PAGEREF _Toc275820786 \h 6 HYPERLINK \l _Toc275820787 3 通过-Rational-AppScan 如何应对网站攻击 PAGEREF _Toc275820787 \h 9 HYPERLINK \l _Toc275820788 4-Rational-AppScan 深入介绍 PAGEREF _Toc275820788 \h 11 HYPERLINK \l _Toc275820789 5-Rational-AppScan 的使用场景 PAGEREF _Toc275820789 \h 12 HYPERLINK \l _Toc275820790 6. 为企业带来的收益 PAGEREF _Toc275820790 \h 13 HYPERLINK \l _Toc275820791 7.总结 PAGEREF _Toc275820791 \h 14 序言 互联网的发展历史也可以说是攻击与防护不断交织发展的过程。当前，Web 安全性已经提高一个空前的高度，然而针对网站的攻击却频频得手。如何最大化的保护 Web 应用呢，IBM-Rational-提出了全面的解决方案。本文将针对 Web 安全的现状、根源、以及-Rational-AppScan 产品的技术细节做全面的介绍，最后阐述IBM解决方案给企业带来的深层次价值。 1 当前 Web 安全现状 　　互联网的发展历史也可以说是攻击与防护不断交织发展的过程。目前，全球因特网用户已达 13.5 亿，用户利用网络进行购物、银行转账支付和各种软件下载，企业用户更是依赖于互联网构建他们的核心业务，对此，Web 安全性已经提高一个空前的高度。 　　然而，现实世界中，针对网站的攻击愈演愈烈，频频得手。Card Systems 是美国一家专门处理信用卡交易资料的厂商。该公司为万事达 (Master)、维萨 (Visa) 和美国运通卡等主要信用卡组织提供数据外包服务，负责审核商家传来的消费者信用卡号码、有效期等信息，审核后再传送给银行完成付款手续。这家公司为超过 10 万家企业处理信用卡信息，每年业务金额超过 150 亿美元。这家已有 15 年历史的公司怎么也没想到，居然有黑客恶意侵入了它的电脑系统，窃取了 4000 万张信用卡的资料。这些资料包括持卡人的姓名、账户号码等。这是美国有史以来最严重的信用卡资料泄密事件。此次攻击事件不仅仅对消费者，对公司造成了巨大的损失，甚至对美国的信用卡产业产生了严重的影响! 　　1.1 Web 安全的认识误区 　　然而什么才是 Web 安全呢，或者说什么样的网站才是安全的呢?用户往往有一些常见的误区。 　　“Web 网站使用了防火墙，所以很安全” 　　无论是应用级还是端口级的防火墙针对的都是网络层面的攻击，通过设置可访问的端口或者应用，把恶意访问排除在外，然而如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许，后续的安全问题就不是防火墙能应对了。 　　“Web 网站使用了 IDS，所以很安全” 　　通过模式识别对网络层面的攻击做出防护措施。然而类似于防火墙，通过利用程序漏洞，通过正常连接进行攻击的访问无法被识别和处理。 　　“Web 网站使用了 SSL 加密，所以很安全” 　　SSL 对网站发送和接收的信息都进行加密处理，然而 SSL 无法保障存储在网站里的信息的安全和网站访问者的隐私信息。采用 64 位甚至 128 位 SSL 加密的网站被黑客攻陷的例子举不胜举。 　　“漏洞扫描工具没发现任何问题，所以很安全” 　　当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞。同理，扫描工具无法对网站应用程序进行检测，无法查找应用本身的漏洞。 　　“我们每季度都会聘用安全人员(Pen Tester)进行审计，所以很安全” 　　人为的检测考察不仅仅效率低，不可控因素也较多，同时对于代码变更频繁的今天，Pen Tester 也无法满足全面的安全需求 　　然而这些方法远远不能保障 Web 应用的安全，针对应用层面的攻击可以轻松的突破防火墙保护的网站。例如：最为常见的 SQL 注入攻击表现层面完全是正常的数据交互查询。对于防火墙或者入侵检测系统而言，这是最为正常的访问连接，没有任何特征能够说明此种访问连接存在恶意攻击。所