試論Web應(yīng)用系統(tǒng)的安全性測試技術(shù)

白 雪

（遼寧省鐵嶺衛(wèi)生職業(yè)學(xué)院 遼寧 112000）

0 引言

當(dāng)前，很少有軟件應(yīng)用系統(tǒng)能夠離開Web模式，并且也成為了今后軟件最主要的發(fā)展方向。雖然對于軟件測試還僅僅處于一個(gè)起步階段，但是越來越多的軟件公司開始重視它的存在。而一個(gè)系統(tǒng)質(zhì)量的好壞，測試也是一項(xiàng)關(guān)鍵性因素。

1 Web常見的安全問題

1.1 常見分類

目前，Web應(yīng)用匯面臨諸多風(fēng)險(xiǎn)，對于其風(fēng)險(xiǎn)的分類以及安全漏洞也有很多種，本文主要是通過國外權(quán)威機(jī)構(gòu)對于Web安全層次性的理解，從而將其大致分為了三個(gè)層次風(fēng)險(xiǎn)：

第一，網(wǎng)絡(luò)邊界安全：主要是網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、路由器、防火墻等方面的安全性問題，除了部分配置問題之外，絕大部分都涉及到系統(tǒng)分布、結(jié)構(gòu)所造成的安全性問題；第二，Web應(yīng)用程序安全：Web應(yīng)用程序在提供服務(wù)時(shí)可能會(huì)存在安全性漏洞，這一些文體的出現(xiàn)主要是因?yàn)樵谧兣c存的時(shí)候，Web應(yīng)用程序存在一定缺陷所引起的；第三，服務(wù)于系統(tǒng)安全：操作系統(tǒng)和在操作系統(tǒng)上運(yùn)行的應(yīng)用服務(wù)的安全，例如Unix/ Window等系統(tǒng)本身存在漏洞或者是其上的Web應(yīng)用服務(wù)器安全存在問題，例如：Weblogic/Apache/IIS等應(yīng)用服務(wù)器本身存在的安全性漏洞。

1.2 Web應(yīng)用常見的安全缺陷

1.2.1 網(wǎng)絡(luò)邊界

（1）網(wǎng)絡(luò)結(jié)構(gòu)不夠合理。作為Web應(yīng)用服務(wù)的基礎(chǔ)，如果存在網(wǎng)絡(luò)結(jié)構(gòu)不合理情況，例如：不合理的防火墻位置或者是不合理的Web應(yīng)用服務(wù)器位置，都可能導(dǎo)致Web應(yīng)用系統(tǒng)安全機(jī)制失去效力，導(dǎo)致Web應(yīng)用完全暴露在外部攻擊中，常見的拒絕服務(wù)攻擊一般都是因?yàn)榫W(wǎng)絡(luò)結(jié)構(gòu)的不合理，無法對這一類型的攻擊加以抵御，甚至是因?yàn)閮?nèi)部病毒的傳播，也可能因?yàn)橥負(fù)浣Y(jié)構(gòu)的不合適，導(dǎo)致病毒傳播。

（2）傳輸層保護(hù)不夠充分。傳輸層保護(hù)不夠充分主要是在信息的傳輸過程中，第三方不可信的組件獲取訪問，也就是對于站點(diǎn)所傳輸?shù)男畔ⅲ瑳]有使用SSL/TLS進(jìn)行加密或者是加密機(jī)制存在一定問題，導(dǎo)致這一部分信息被非法用戶獲取，甚至是對通信內(nèi)容加以篡改。

1.2.2 Web應(yīng)用程序

（1）輸入處理錯(cuò)誤。在Web應(yīng)用程序常見的弱點(diǎn)中，輸入處理無措是常見的弱點(diǎn)之一，例如：緩沖區(qū)的溢出、命令執(zhí)行、SQL注入等都是由于輸入處理錯(cuò)誤所造成的。在進(jìn)行Web應(yīng)用程序的輸入處理，一般都是對輸入信息加以驗(yàn)證、過濾、編解碼等內(nèi)容，如果信息驗(yàn)證不全面或者是代碼中存在邏輯錯(cuò)誤，就可能出現(xiàn)非法信息被當(dāng)做了正常數(shù)據(jù)，從而通過Web應(yīng)用程序進(jìn)行邏輯處理，從而導(dǎo)致Web應(yīng)用出現(xiàn)損害。在這一問題處理中，需要針對所有來自客戶端的數(shù)據(jù)，例如：HTTP請求中所有內(nèi)容、表單信息，都認(rèn)為可能有安全風(fēng)險(xiǎn)的存在，只有通過檢驗(yàn)，才能夠被邏輯程序加以處理。

（2）輸出處理錯(cuò)誤。輸出處理主要指的是應(yīng)用程序如何產(chǎn)生輸出數(shù)據(jù)，一般來說，錯(cuò)誤的輸出處理包含了協(xié)議錯(cuò)誤、數(shù)據(jù)處理錯(cuò)誤以及應(yīng)用程序錯(cuò)誤三個(gè)方面。如果信息被直接返回給訪問者，就可能導(dǎo)致Web應(yīng)用系統(tǒng)敏感的信息出現(xiàn)泄露的情況，或者是惡意攻擊人員就可能通過返回的錯(cuò)誤信息對于Web應(yīng)用是否存在特定安全的問題加以判斷。

（3）信息泄露；信息泄露主要是Web應(yīng)用程序當(dāng)中敏感的信息被非法進(jìn)行訪問，例如：在Web應(yīng)用當(dāng)中的用戶設(shè)置信息、技術(shù)細(xì)節(jié)以及環(huán)境信息等方面的問題，一旦被泄露，就可能嚴(yán)重影響到Web應(yīng)用。因此，需要采取一定的手段來防止信息泄露，一般，主要是以下幾種原因?qū)е滦畔⑿孤叮鹤⑨尨a當(dāng)中存在敏感信息、對于合法與非法的的輸入數(shù)據(jù)應(yīng)用程序都有著不同的頁面相應(yīng)或者是應(yīng)用程序出現(xiàn)了配置不當(dāng)?shù)惹闆r。

（4）索引不安全；索引不安全主要指的是能夠?qū)γ舾形募M(jìn)行訪問的過程對敏感信息進(jìn)行訪問，以此來判斷文件的存在以及文件的具體內(nèi)容，這一部分信息都是通過服務(wù)索引所獲取的。針對這一個(gè)問題，有一個(gè)典型的例子，GOOGLE HACK通過搜索引擎從而獲取了站點(diǎn)信息，就有可能將站點(diǎn)輩備份的代碼位置獲取、后臺管理地址，甚至包含了數(shù)據(jù)庫存放的地址。像這一類型的安全攻擊就難以預(yù)防，這是因?yàn)閷τ诤戏ㄕ埱?、非法請求很難分開，如果想要解決這一問題，需要對權(quán)限加以控制，也可以通過robots.txt等手段避免不應(yīng)泄露的信息被泄露出去。

2 Web服務(wù)安全性測試框架

Web服務(wù)系統(tǒng)的安全性測試框架主要分為了以下幾個(gè)階段，從下面的圖1中可以看出：

圖1 Web服務(wù)安全性測試框架

第一階段主要是確定安全目標(biāo)，確定威脅漏洞并且做好評級；第二階段要求結(jié)合軟件的具體需求以及威脅，從而確定好測試對象與內(nèi)容，并且做好資源的分配；第三階段的測試策略文檔記錄主要是做好應(yīng)用系統(tǒng)中程序總統(tǒng)架構(gòu)、缺陷跟蹤變更以及資源需求的 控制，二測試計(jì)劃主要是描述人員進(jìn)度安全、測試環(huán)境以及安全測試需求等方面；在測試的執(zhí)行以及報(bào)告階段則是記錄測試結(jié)果并且創(chuàng)建出測試報(bào)告。

3 安全性測試技術(shù)

3.1 體系安全性

測試Web應(yīng)用系統(tǒng)的體系結(jié)構(gòu)的安全性可以找出很多的漏洞，因此，也有利于提升Web應(yīng)用系統(tǒng)的整體安全性。在設(shè)計(jì)階段，檢測并修復(fù)安全漏洞，就能夠?qū)⒑笃诔霈F(xiàn)的安全問題加以解決，并且也有利于提高安全測試的經(jīng)濟(jì)型。在開發(fā)階段，充分考慮到目標(biāo)部署環(huán)境的相關(guān)設(shè)計(jì)，才有利于完善Web應(yīng)用系統(tǒng)，也有利于其安全性。

3.2 應(yīng)用和傳輸安全

在Web應(yīng)用系統(tǒng)設(shè)計(jì)完畢之后，對于系統(tǒng)當(dāng)中的漏洞，就可以通過安全性測試對于可能存在的漏洞加以修復(fù)，并且完善未來的設(shè)計(jì)與創(chuàng)建工作?！昂谙渥印钡臏y試手段也就是在正常運(yùn)行使用目標(biāo)系統(tǒng)之后，可以通過對于Web應(yīng)用系統(tǒng)正常運(yùn)行不影響的方式進(jìn)行遠(yuǎn)程的安全技術(shù)測試，通過黑客入侵的模擬，來實(shí)現(xiàn)在模擬攻擊下目標(biāo)系統(tǒng)的安全性測試。進(jìn)行Web應(yīng)用系統(tǒng)的安全性技術(shù)測試主要分為了應(yīng)用級、傳輸級。應(yīng)用級的安全性測試是通過檢查Web應(yīng)用系統(tǒng)的自我程序，并且找出設(shè)計(jì)當(dāng)中可能存在的安全漏洞，在測試應(yīng)用級上，主要包含了目錄設(shè)置、在線超時(shí)、注冊、登陸、備份、恢復(fù)等多個(gè)區(qū)域測試；傳輸級主要是針對Web應(yīng)用系統(tǒng)的傳輸特殊性，測試目標(biāo)主要是數(shù)據(jù)信息從客戶端傳輸?shù)椒?wù)器這一過程中的安全漏洞，這也有利于服務(wù)器拒絕非法訪問能力的提升，傳輸級測試內(nèi)容包含了防火墻、SSL、數(shù)據(jù)加密等。

總之，本論文主要是基于Web常見的安全問題，從而提出了常見缺陷和主要的安全性測試技術(shù)，希望能夠?qū)窈蟮腤eb應(yīng)用系統(tǒng)的安全性測試技術(shù)提供一部分幫助。

[1] 于莉莉，杜蒙杉，張平，紀(jì)玲利. Web安全性測試技術(shù)綜述[J].計(jì)算機(jī)應(yīng)用研究.2012(11)：56-57

[2] 朱輝.沈明星.李善平.Web應(yīng)用中代碼注入漏洞的測試方法[J].計(jì)算機(jī)工程.2010(10)：77-78

[3] 馬琳,羅鐵堅(jiān),宋進(jìn)亮,葉世偉.Web性能測試與預(yù)測[J].中國科學(xué)院研究生院學(xué)報(bào).2005(04)：96-97