隨著信息技術(shù)的快速發(fā)展，越來越多的應(yīng)用開始通過Web形式對(duì)外提供，方便快捷的Web應(yīng)用在政府、企業(yè)、軍隊(duì)等都得到了廣泛應(yīng)用。然而，不安全的Web應(yīng)用使得我國金融、醫(yī)療、國防、能源和其他重要網(wǎng)絡(luò)架構(gòu)面臨嚴(yán)峻的安全威脅。

　　【摘要】隨著Web應(yīng)用的不斷深化和推廣，對(duì)應(yīng)的Web漏洞和惡意攻擊層出不窮，使得高效、準(zhǔn)確地測(cè)試評(píng)估Web應(yīng)用程序的安全性尤為重要。本文對(duì)Web應(yīng)用安全測(cè)試技術(shù)，構(gòu)建插件式、可擴(kuò)展的安全測(cè)試技術(shù)框架，以及未知漏洞智能發(fā)掘方法和支持自定義的測(cè)試工具集成方法等關(guān)鍵技術(shù)進(jìn)行了研究。在Web應(yīng)用運(yùn)行前和運(yùn)行時(shí)，采用平臺(tái)對(duì)其進(jìn)行安全掃描和風(fēng)險(xiǎn)發(fā)現(xiàn)，可加強(qiáng)Web應(yīng)用的安全檢測(cè)，確保Web應(yīng)用的安全可靠運(yùn)行。

　　【關(guān)鍵詞】Web應(yīng)用程序,安全測(cè)試,插件,集成框架,漏洞挖掘

　　1引言

　　隨著數(shù)字化架構(gòu)變得越來越復(fù)雜并相互關(guān)聯(lián)，實(shí)現(xiàn)Web應(yīng)用程序安全的難度也呈指數(shù)級(jí)增加。Web應(yīng)用程序越來越復(fù)雜，導(dǎo)致固有的漏洞和缺陷越來越多，因此也正面臨著來自網(wǎng)絡(luò)的越來越多的攻擊。目前，Web應(yīng)用程序安全問題已經(jīng)成為我國信息技術(shù)發(fā)展重要的技術(shù)挑戰(zhàn)，需要有針對(duì)性的防護(hù)Web應(yīng)用攻擊，即針對(duì)不同的攻擊行為采用不同的防護(hù)技術(shù)。因此，研究設(shè)計(jì)Web應(yīng)用程序綜合測(cè)試平臺(tái)進(jìn)行安全檢測(cè)，及時(shí)發(fā)現(xiàn)Web應(yīng)用程序漏洞，對(duì)于防范各類Web應(yīng)用攻擊意義重大。

　　2研究現(xiàn)狀及存在不足

　　在Web應(yīng)用軟件分析和測(cè)試研究方面，Ricca和Tonella在中提出了一個(gè)基于UML的模型。Kung等人將Web應(yīng)用軟件或者Web網(wǎng)站用一張圖來表示，根據(jù)頁面瀏覽的導(dǎo)航順序，構(gòu)建測(cè)試樹，從而生成測(cè)試用例以檢測(cè)狀態(tài)行為錯(cuò)誤的方法。Kallepalli等人提出了一個(gè)基于統(tǒng)計(jì)使用數(shù)據(jù)信息建立統(tǒng)一的馬爾可夫模型（UnifiedMarkovModel）方法用于應(yīng)用測(cè)試、性能評(píng)估及可靠性分析。

　　在Web應(yīng)用脆弱性的自動(dòng)探測(cè)技術(shù)方面，微軟將安全漏洞分為十個(gè)大類，并在此基礎(chǔ)上明確了Web應(yīng)用程序安全框架的需求。OWASP按照若干漏洞是否緊密相關(guān)、是否使用類似的反制措施和是否經(jīng)常出現(xiàn)在Web應(yīng)用體系結(jié)構(gòu)的標(biāo)準(zhǔn)，給出了十大應(yīng)用程序漏洞列表。文獻(xiàn)[6，7]針對(duì)來自不可信的來源的危險(xiǎn)數(shù)據(jù)，利用動(dòng)態(tài)追蹤技術(shù)（DynamicTaintingTechnique），高效探測(cè)進(jìn)入敏感區(qū)的危險(xiǎn)數(shù)據(jù)。

　　相對(duì)于國外，國內(nèi)對(duì)Web應(yīng)用安全測(cè)試的研究還比較薄弱。比較有代表性的研究有武漢大學(xué)的盧虹等人從狀態(tài)測(cè)試的角度對(duì)Web應(yīng)用的測(cè)試問題進(jìn)行了討論，清華大學(xué)的武海平等人則開發(fā)了一個(gè)Web服務(wù)器性能測(cè)試系統(tǒng)，合肥工業(yè)大學(xué)的吳蕾等人應(yīng)用環(huán)境錯(cuò)誤注入的方法進(jìn)行了安全性測(cè)試的研究，國防科技大學(xué)的鄭理華等人正在研究基于網(wǎng)絡(luò)的Web應(yīng)用安全測(cè)試評(píng)估系統(tǒng)，解放軍理工大學(xué)的ZhanweiHui等人在基于軟件安全缺陷（SSD）的Web應(yīng)用安全測(cè)試方法上面進(jìn)行了有益的探索。

　　通過上述國內(nèi)外現(xiàn)狀分析不難發(fā)現(xiàn)，我國現(xiàn)有Web應(yīng)用安全性測(cè)試技術(shù)還不能滿足信息系統(tǒng)建設(shè)的迫切需求，具體差距表現(xiàn)在幾個(gè)方面。

　�。�1）缺乏集成統(tǒng)一的Web應(yīng)用安全性測(cè)試框架。當(dāng)前主流的Web應(yīng)用測(cè)試框架和工具通常只針對(duì)某些特定Web應(yīng)用安全漏洞，無法對(duì)安全缺陷展開全面的測(cè)試，難以滿足Web應(yīng)用安全性測(cè)試的要求。

　�。�2）缺乏有效的Web應(yīng)用未知漏洞的自動(dòng)掃描和發(fā)現(xiàn)技術(shù)。當(dāng)前的Web應(yīng)用安全性測(cè)試主要利用滲透攻擊檢測(cè)已有的安全漏洞，對(duì)未知安全漏洞的檢測(cè)缺乏可行的方法。

　　針對(duì)Web應(yīng)用程序安全性測(cè)試的切實(shí)需求，本文針對(duì)上述不足，深入研究Web應(yīng)用的安全性測(cè)試技術(shù)體系，建立一個(gè)插件式、可擴(kuò)展、重動(dòng)態(tài)交互的Web應(yīng)用安全性測(cè)試工具。以確保安全測(cè)試準(zhǔn)確性和高效性為出發(fā)點(diǎn)，突破未知漏洞智能發(fā)掘方法和支持自定義的測(cè)試工具集成方法等關(guān)鍵技術(shù)，最終為Web應(yīng)用安全測(cè)試提供一整套健壯的、智能化的綜合測(cè)試工具奠定基礎(chǔ)，從而在Web應(yīng)用運(yùn)行前和運(yùn)行時(shí)，對(duì)其進(jìn)行安全掃描和風(fēng)險(xiǎn)發(fā)現(xiàn)，確保Web應(yīng)用的安全可靠運(yùn)行。3Web應(yīng)用程序安全

　　Web應(yīng)用是一個(gè)客戶機(jī)/服務(wù)器軟件應(yīng)用系統(tǒng)，其中的客戶程序和服務(wù)器程序通過HTTP/HTTPS協(xié)議進(jìn)行交互，通常包括五個(gè)組成部分，即客戶端（瀏覽器）、Web服務(wù)器、應(yīng)用服務(wù)器、Web應(yīng)用程序、數(shù)據(jù)源，它們彼此之間通過一定的機(jī)制來進(jìn)行通信，典型的Web應(yīng)用架構(gòu)模型如圖1所示。

　　由于組成Web應(yīng)用的軟件系統(tǒng)相對(duì)復(fù)雜，涉及網(wǎng)絡(luò)、操作系統(tǒng)、服務(wù)器等多個(gè)方法，目前國內(nèi)外對(duì)Web應(yīng)用安全并沒有一個(gè)統(tǒng)一的、標(biāo)準(zhǔn)的定義。嚴(yán)格意義上來講，Web應(yīng)用安全應(yīng)該包括其體系結(jié)構(gòu)中涉及的所有安全問題，如網(wǎng)絡(luò)安全、操作系統(tǒng)安全、瀏覽器安全、Web服務(wù)器安全、應(yīng)用服務(wù)器安全等。企業(yè)、政府、軍事單位多采用防火墻、SSL、殺毒軟件、入侵檢測(cè)系統(tǒng)等措施來保護(hù)Web應(yīng)用安全，但據(jù)Gartner調(diào)查，當(dāng)前大多數(shù)Web攻擊都直接針對(duì)Web應(yīng)用程序本身。攻擊者通過構(gòu)造表面合法的HTML、XML、SOAP和WebServices等數(shù)據(jù)流，傳送惡意代碼直接針對(duì)Web應(yīng)用程序的安全漏洞進(jìn)行攻擊。OWASP（OpenWebApplicationSecurityProject）組織發(fā)布的Web應(yīng)用程序安全風(fēng)險(xiǎn)報(bào)告顯示，跨站腳本、SQL注入等已成為Web應(yīng)用程序安全的重大威脅，如圖2所示，傳統(tǒng)的邊界防護(hù)、病毒查殺等安全手段對(duì)此心有余而力不足。

　　Web應(yīng)用程序是開發(fā)和組成Web應(yīng)用的核心組成部分，要保護(hù)Web應(yīng)用程序安全，需要針對(duì)不同的攻擊行為采用不同的防護(hù)技術(shù)。這就要求在真實(shí)攻擊發(fā)生前，及時(shí)的發(fā)現(xiàn)Web應(yīng)用程序存在的各種安全漏洞，并采取相應(yīng)的防范措施進(jìn)行加固。WhiteHat調(diào)查報(bào)告指出，漏洞發(fā)現(xiàn)得越早、彌補(bǔ)得越及時(shí)，攻擊者利用漏洞進(jìn)行攻擊的機(jī)會(huì)就越小。因此，深入研究Web應(yīng)用程序的安全性檢測(cè)技術(shù)，開發(fā)測(cè)評(píng)工具對(duì)Web應(yīng)用程序進(jìn)行安全性測(cè)試，及時(shí)發(fā)現(xiàn)Web應(yīng)用程序所存在的漏洞，對(duì)于防范Web應(yīng)用攻擊意義重大。

　　4Web應(yīng)用安全綜合測(cè)試平臺(tái)關(guān)鍵技術(shù)研究

　　4.1基于插件的Web應(yīng)用安全測(cè)試集成框架

　　Web應(yīng)用安全漏洞成為應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)的重災(zāi)區(qū)，而且呈現(xiàn)逐年上升的趨勢(shì)。當(dāng)前的Web應(yīng)用安全測(cè)試工具雖然種類繁多，但是無一例外存在一些缺陷，運(yùn)行效率相對(duì)較低。為克服這些缺陷，本文設(shè)計(jì)了圖3所示的基于插件的Web應(yīng)用安全測(cè)試集成框架，主要由三大部分構(gòu)成：插件管理部件、掃描管理部件和全局管理部件。

　　插件管理部件主要負(fù)責(zé)對(duì)漏洞掃描插件的管理與維護(hù)，主要包含以下模塊：插件接口層，為擴(kuò)展層提供插件接插的標(biāo)準(zhǔn)接口和規(guī)范；插件管理模塊，維護(hù)插件庫的完整性和時(shí)效性，保證框架自身的安全性；插件調(diào)度模塊，根據(jù)Web應(yīng)用系統(tǒng)的業(yè)務(wù)邏輯屬性，自主智能地調(diào)度最優(yōu)的測(cè)試插件進(jìn)行測(cè)試，保證系統(tǒng)運(yùn)行效率和漏洞檢出率。在這三個(gè)模塊之上，是插件庫及插件庫維護(hù)模塊，插件庫用于存儲(chǔ)各種插件，包括本地庫和在線庫兩個(gè)部分，以方便系統(tǒng)快速檢索并加載插件，其中包括標(biāo)準(zhǔn)的CVE漏洞掃描插件、第三方基準(zhǔn)測(cè)試插件（包含接口合規(guī)性測(cè)試等插件），以及用戶根據(jù)系統(tǒng)特定屬性定義的漏洞掃描插件等。插件庫維護(hù)模塊主要負(fù)責(zé)本地庫與在線庫之間的插件傳輸、插件審核以及插件庫的完整性維護(hù)等功能。

　　掃描管理部件負(fù)責(zé)調(diào)用各種掃描插件，利用插件基于各種先驗(yàn)知識(shí)庫、基準(zhǔn)漏洞庫對(duì)Web應(yīng)用展開漏洞掃描。其中主要包括幾種模塊：知識(shí)庫/基準(zhǔn)漏洞庫，用于存放各種已知的或習(xí)得的先驗(yàn)知識(shí)和基準(zhǔn)漏洞，作為掃描以及啟發(fā)式學(xué)習(xí)的基礎(chǔ)；Web應(yīng)用信息收集模塊，主要用于截獲測(cè)試框架與Web應(yīng)用間的消息，以提供給掃描插件作為分析的資料；插件調(diào)用代理模塊，作為具體插件在掃描部件中的抽象，通過該模塊，掃描部件可以調(diào)用相應(yīng)的插件，并保持掃描部件與插件管理部件的松散耦合；測(cè)試報(bào)告生成模塊，根據(jù)測(cè)試結(jié)果生成相應(yīng)的測(cè)試報(bào)告并反饋給測(cè)試人員。

　　全局管理部件，負(fù)責(zé)對(duì)整個(gè)框架的運(yùn)行進(jìn)行監(jiān)控與支持。主要包括以下模塊：系統(tǒng)配置模塊，對(duì)全系統(tǒng)各個(gè)部件進(jìn)行配置，保證系統(tǒng)按照測(cè)試人員的預(yù)期運(yùn)行；虛擬用戶生成與管理模塊，產(chǎn)生并維護(hù)具有不同權(quán)限的不同角色的虛擬用戶，利用虛擬用戶可以對(duì)Web應(yīng)用展開近似于實(shí)際環(huán)境的測(cè)試；用戶交互模塊，使用測(cè)試報(bào)告生成模塊生成的測(cè)試報(bào)告產(chǎn)生友好的供測(cè)試員閱讀的測(cè)試分析結(jié)果；錯(cuò)誤處理模塊，對(duì)系統(tǒng)運(yùn)行中出現(xiàn)的錯(cuò)誤進(jìn)行及時(shí)的響應(yīng)和處理。

　　4.2支持未知漏洞發(fā)現(xiàn)的漏洞智能挖掘技術(shù)

　　為了最大可能的發(fā)掘新型安全漏洞、檢測(cè)與具體Web應(yīng)用緊密相關(guān)的安全缺陷，本文提出并設(shè)計(jì)了基于智能挖掘的未知漏洞檢測(cè)方法，流程如圖4所示。

　　在基于智能挖掘的未知漏洞檢測(cè)中，智能漏洞挖掘模塊在常規(guī)漏洞檢測(cè)中，通過自學(xué)習(xí)服務(wù)不斷學(xué)習(xí)并獲取具體的業(yè)務(wù)邏輯和應(yīng)用特征。然后基于已知的漏洞庫，在啟發(fā)模板的指導(dǎo)下，采取類似“基因變異”的思想，通過未知漏洞服務(wù)生成特定的針對(duì)具體Web應(yīng)用的新攻擊向量，檢測(cè)應(yīng)用是否存在已知漏洞庫之外的未知漏洞。針對(duì)各種Web應(yīng)用新型漏洞和與具體應(yīng)用緊密相關(guān)的漏洞層出不窮的問題，論文提出的基于智能挖掘的未知漏洞檢測(cè)技術(shù)，能夠采用啟發(fā)式學(xué)習(xí)機(jī)制和自學(xué)習(xí)機(jī)制來檢測(cè)可能存在的未知漏洞，增強(qiáng)了對(duì)Web應(yīng)用未知漏洞的檢測(cè)能力，提高了工具自動(dòng)化、智能化檢測(cè)能力，能夠更加有效的測(cè)試應(yīng)用安全。智能漏洞挖掘建立在常規(guī)漏洞檢測(cè)基礎(chǔ)之上，并不能取代常規(guī)漏洞檢測(cè)。智能漏洞挖掘需要通過常規(guī)漏洞測(cè)試，獲取Web應(yīng)用輸入和輸出信息以及數(shù)據(jù)流、控制流信息，取得具體的應(yīng)用特征后，才能擴(kuò)大測(cè)試覆蓋面并生成新的攻擊去檢測(cè)新的安全漏洞。

　　4.3Web應(yīng)用安全性測(cè)試工具實(shí)現(xiàn)技術(shù)

　　根據(jù)上述理論和技術(shù)，最后實(shí)現(xiàn)一個(gè)針對(duì)Web應(yīng)用的可用的安全性綜合測(cè)試工具。該工具將集成上述安全測(cè)試技術(shù)，對(duì)Web應(yīng)用的已知漏洞、接口合規(guī)性、業(yè)務(wù)動(dòng)態(tài)安全性以及未知漏洞展開全面的測(cè)試，確保在Web應(yīng)用上線前發(fā)現(xiàn)大部分潛在的安全漏洞，保證基于Web應(yīng)用的新型信息系統(tǒng)的安全可靠運(yùn)行。一個(gè)利用該工具的典型Web應(yīng)用安全測(cè)試場(chǎng)景如圖5所示。測(cè)試人員使用控制臺(tái)對(duì)測(cè)試工具進(jìn)行配置并啟動(dòng)測(cè)試過程，測(cè)試框架根據(jù)測(cè)試人員的配置調(diào)用相應(yīng)的插件構(gòu)造測(cè)試代理（即一個(gè)經(jīng)定制的測(cè)試工具的實(shí)例），該代理生成若干具有不同身份、不同角色的虛擬角色，虛擬角色通過網(wǎng)絡(luò)向帶測(cè)試的Web應(yīng)用發(fā)起測(cè)試請(qǐng)求，測(cè)試工具截獲請(qǐng)求與服務(wù)返回的響應(yīng)，之后使用配置好的插件對(duì)Web應(yīng)用的安全漏洞進(jìn)行智能的發(fā)現(xiàn)與挖掘，高效地發(fā)現(xiàn)大部分Web應(yīng)用安全漏洞。

　　5結(jié)束語

　　本文研究了Web應(yīng)用程序安全測(cè)試技術(shù)，并構(gòu)建了插件式、可擴(kuò)展的安全測(cè)試技術(shù)框架。以確保安全測(cè)試準(zhǔn)確性和高效性為出發(fā)點(diǎn)，突破未知漏洞智能發(fā)掘方法和支持自定義的測(cè)試工具集成方法等關(guān)鍵技術(shù)，最終為信息系統(tǒng)建設(shè)中的Web應(yīng)用安全測(cè)試提供一整套健壯的、智能化的綜合測(cè)試工具，在Web應(yīng)用運(yùn)行前和運(yùn)行時(shí)，對(duì)其進(jìn)行安全掃描和風(fēng)險(xiǎn)發(fā)現(xiàn)，確保Web應(yīng)用的安全可靠運(yùn)行，為推進(jìn)Web應(yīng)用安全提供支撐和保證。

　　參考文獻(xiàn)

　　[1]Ricca，F(xiàn).andP.Tonella.Analysisandtestingofwebapplications.2001：PublishedbytheIEEEComputerSociety.

　　[2]Kung，D.C.，C.H.Liu，andP.Hsia.Anobject-orientedwebtestmodelfortestingwebapplications.2000：IEEE.

　　[3]Kallepalli，C.andJ.Tian，Measuringandmodelingusageandreliabilityforstatisticalwebtesting.IEEEtransactionsonsoftwareengineering，2001：p.1023-1036.

　　[4]Microsoft.備忘單：Web應(yīng)用程序安全框架.2005；Availablefrom：http：//msdn.microsoft.com/zh-cn/library/ms978518.aspx.

　　[5]OWASP.OWASPTop10ApplicationSecurityRisks-2010.2010；Availablefrom：https：//www.owasp.org/index.php/Top_10_2010-Main.

　　[6]Jovanovic，N.，C.Kruegel，andE.Kirda，Pixy：Astaticanalysistoolfordetectingwebapplicationvulnerabilities（shortpaper）.2006.

　　[7]Nguyen-Tuong，A.，etal.，Automaticallyhardeningwebapplicationsusingprecisetainting.SecurityandPrivacyintheAgeofUbiquitousComputing，2005：p.295-307.

　　[8]盧虹，徐寶文.一種Web應(yīng)用的狀態(tài)測(cè)試方法.計(jì)算機(jī)工程與應(yīng)用，2002.38（002）：p.55-57.

　　[9]武海平，蔣東興.Web服務(wù)器通用性能測(cè)試系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).小型微型計(jì)算機(jī)系統(tǒng)，2003.24（002）：p.188-190.

---

轉(zhuǎn)載請(qǐng)注明來自：http://www.jinnzone.com/jisuanjiwangluolw/29903.html