欢迎来到天天文库
浏览记录
ID:32048799
大小:235.26 KB
页数:6页
时间:2019-01-31
《web应用系统安全评测研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、WEB应用系统安全评测研究机密吴海燕苗春雨刘启新孙方成(wuhy@cic.tsinghua.edu.cn)(清华大学计算机与信息管理中心,100084)摘要:随着web应用的发展,其安全问题引起了越来越多的关注,是信息安全领域当前的热点问题,但目前关于web应用安全的相关研究工作还比较少。本文讨论了web应用安全的评测方法,以Nikto和Paros为例介绍了Web安全评测工具的原理及主要的功能。关键词web应用安全web应用安全评测TheResearchofWebApplicationSecurityTestingWuHaiya
2、nMiaoChunyuLiuQixinSunFangcheng(Computer&InformationCenter,TsinghuaUniversity,100084)Abstract:WiththedevelopmentofWebapplication,itssecurityissuecallsmoreandmoreattentionandbecomesahotspotintheareaorinformationsecurity.Itisregrettablethatthereislittlerelatedresearchw
3、ork..Thispaperdiscusseswebapplicationsecuritytestingmethod,andintroducestheprincipleandfunctionofwebsecuritytestingtools,usingNiktoandParosasexamples.KeywordsWebApplicationSecurityWebApplicationSecurityTesting1.引言目前web应用已经成为互联网上的第一大应用,根据CNCERT/CC网络安全监测系统[1]对流量数据进行的抽样
4、统计显示,在TCP协议中占网络带宽前三名的网络应用是Web浏览、P2P软件eMule、电子邮件,其中web应用流量占整个TCP流量的67.7%。但是,由于web应用的开放性本质,以及基本由www.zeon.com.tw用户自行开发的特性,使得web应用的安全问题日[2]益凸显。据调查,目前超过90%的web应用存在某种类型的安全漏洞,有超过75%的攻[3][4]击是通过HTTP/S协议进行的。事实上,实际发生的web攻击数量有明显的上升趋[5]势,“CSI/FBI2005计算机犯罪和安全调查www.pdfwizard.com”最
5、惊人的发现是网页窜改事件的数量呈指数性增长:2004年只有5%的被调查者的网页被黑客窜改,2005年这一数值增加到了95%。DocuComPDFTrial对web应用进行安全评测、及时发现安全问题是确保web应用安全的重要环节,本文讨论了ZeonPDFDriverTrialweb应用安全的评测方法,并对常用的评测工具进行了介绍。2.Web应用安全评测方法在早期,Web应用的安全主要依靠程序员自身的设计水平来保证,并通过黑箱测试的方法来检验程序程序的安全性。黑箱测试是指在不需要知道软件具体实现方式的情况下,根据软件的实际工作环境,
6、模拟在真实条件下任何可能的操作,来测试软件是否能在真实环境下正确可靠的运行。一般情况下,由于可能的操作集合过于庞大,所以一般会根据软件的功能,又针对性的设计各种可能引发软件错误的操作进行测试。总的来说,对不需要源代码的测试都可以称作黑箱测试。由于黑箱测试难以产生足够有针对性地测试用例,所以随着Web应用的增多,其安全评测方法也在迅速发展。主要体现在:(1)大量关于安全性的设计模式的提出,使得程序员可以采用已经通过验证的设计框架来保证Web应用的安全;(2)基于已机密有的安全模式,采用白箱测试的方法检查程序的逻辑漏洞。相对应的,在
7、源代码基础上,通过分析代码本身的逻辑,有针对性地对程序正确性进行测试就叫做白箱测试。白箱测试可以采用人工分析代码,并对其中的疑点设计针对性测试操作进行测试,也可以通过机器分析,给出可能出现漏洞的位置。由于白箱测试的所要耗费的时间和精力远超过了黑箱测试。所以目前主流的商用Web应用安全评测软件,都将白箱测试和黑箱测试相结合,利用黑箱测试覆盖各种漏洞类型,而用白箱测试对重点的安全漏洞类型进行测试。在白箱测试的方法中,目前商用Web应用安全评测软件主要采用特征字符串法来实现错误检查,即在已有的安全模型的基础上,由用户根据程序源码提供参
8、数来找出程序中和原模型不符合的地方。总的说来,Web应用的漏洞可以简单的分为逻辑漏洞和技术漏洞两类,当前的机器辅助分析只能处理技术漏洞部分,而无法理解程序的逻辑。所以对程序的逻辑安全依然要依靠合适的实际模式,和有经验的程序设计师来保证。随着时间的推移,Web应用
此文档下载收益归作者所有