Web服務(wù)安全性測試技術(shù)問題研究

于穎

摘要：Web服務(wù)組合安全性檢測對提高Web服務(wù)的安全性具有重要意義。針對Web應(yīng)用安全存在的主要8種漏洞，在建立測試框架的基礎(chǔ)上，提出安全檢測關(guān)鍵技術(shù)的實現(xiàn)方法，為提高Web服務(wù)安全性提供技術(shù)參考。

關(guān)鍵詞：安全性測試；Web服務(wù)；漏洞；測試框

中圖分類號： TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-1161（2016）03-0036-03

1969年互聯(lián)網(wǎng)在美國誕生，1994年我國與國際互聯(lián)網(wǎng)成功連接，標(biāo)志著我國互聯(lián)網(wǎng)步入新時代。經(jīng)過20多年的發(fā)展，我國的互聯(lián)網(wǎng)實現(xiàn)了從無到有，并且規(guī)模越來越大，現(xiàn)已經(jīng)成為世界第二大網(wǎng)絡(luò)大國。據(jù)《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》（中國互聯(lián)網(wǎng)絡(luò)信息中心2016年1月22日第37次權(quán)威發(fā)布）顯示，截至2015年12月，我國網(wǎng)民規(guī)模達(dá)6.88億，互聯(lián)網(wǎng)普及率達(dá)50.3%，半數(shù)中國人已接入互聯(lián)網(wǎng)。伴隨著互聯(lián)網(wǎng)的快速發(fā)展，以社交網(wǎng)絡(luò)、電子商務(wù)等為代表的Web服務(wù)正在深刻地改變著人們的生活方式，甚至影響著整個社會發(fā)展進(jìn)程。

1 Web服務(wù)的基本概念及組成

Web服務(wù)作為一種遠(yuǎn)程訪問的標(biāo)準(zhǔn)，具有松散耦合、平臺無關(guān)、交互性、語言中立等優(yōu)點，通常作為分布式應(yīng)用實現(xiàn)的技術(shù)基礎(chǔ)。Web應(yīng)用系統(tǒng)組成十分復(fù)雜，正因為其復(fù)雜組件和彼此間復(fù)雜的關(guān)系，所以才能為用戶提供強(qiáng)大服務(wù)。Web應(yīng)用系統(tǒng)核心組件包括用戶接口代碼、前端系統(tǒng)、服務(wù)器軟件、后臺系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等。

2 Web服務(wù)安全性測試的重要意義

Web應(yīng)用當(dāng)前已經(jīng)成為軟件開發(fā)的重要組成部分。由于開發(fā)人員技術(shù)水平有限或者安全意識比較薄弱，每一個Web系統(tǒng)自身都存在著一定的安全漏洞，并在使用過程中逐漸暴露出來，入侵者就可能利用漏洞到Web應(yīng)用上進(jìn)行惡意攻擊。Web系統(tǒng)中有大量信息，其中許多信息涉及個人隱私或是企業(yè)關(guān)鍵性業(yè)務(wù)等，一旦Web服務(wù)安全性出了問題，可能會給個人或企業(yè)造成重大損失和帶來嚴(yán)重后果。雖然當(dāng)前入侵檢測、防火墻等技術(shù)已經(jīng)相對成熟，可以為Web系統(tǒng)提供一定的安全防護(hù)，但是對Web應(yīng)用的惡性攻擊大多來自于應(yīng)用層，完全解決各種安全性問題的難度非常大。在此情況下，Web服務(wù)安全性測試具有重大現(xiàn)實意義。

3 Web應(yīng)用安全漏洞

Web應(yīng)用安全漏洞是指一個Web系統(tǒng)的所有組件在設(shè)計、實現(xiàn)或者操作和管理中存在的可能被入侵者利用的缺陷和弱點。常見的Web應(yīng)用安全漏洞主要有以下8個類別。

3.1 未被驗證的輸入

入侵者通過篡改HTTP請求越過站點安全機(jī)制，主要包括緩沖區(qū)溢出、跨站點腳本、SQL注入、格式化字符串攻擊等輸入篡改攻擊方式。HTTP請求主要包括查詢字符串、Cookie、HTTP頭部、URL、表單等。

3.2 SQL注入

SQL注入是最普遍、最嚴(yán)重的Web應(yīng)用安全漏洞。入侵者通過在輸入域中插入某些特殊字符，完全改變SQL查詢的自身功能，欺騙數(shù)據(jù)庫服務(wù)器進(jìn)行非法操作，從而達(dá)到破壞數(shù)據(jù)庫或非法獲取數(shù)據(jù)清單的目的。

3.3 跨站點腳本

入侵者在Web瀏覽器客戶端通過頁面提交的輸入數(shù)據(jù)嵌入惡意代碼，如果服務(wù)器不經(jīng)過濾或轉(zhuǎn)義直接將這些數(shù)據(jù)返回，那么這些惡意代碼在其他用戶訪問該Web頁面時將被執(zhí)行，從而實現(xiàn)其惡意攻擊的目的。

3.4 緩沖區(qū)溢出

入侵者利用緩沖區(qū)溢出漏洞向Web應(yīng)用發(fā)送特定請求，使目標(biāo)Web應(yīng)用執(zhí)行其設(shè)定的代碼。

3.5 隱藏的字段

在正常操作中，用戶可以執(zhí)行Web瀏覽器中的“查看源文件”，并查看字段內(nèi)容，通過手工修改參數(shù)值，再傳回給服務(wù)器端。入侵者通過對HTML源文件中的這些隱藏字段進(jìn)行修改實現(xiàn)惡意目的。

3.6 不恰當(dāng)?shù)漠惓Ｌ幚?/p>

用戶向Web應(yīng)用提交正常請求時，可能頻繁產(chǎn)生內(nèi)存不足、系統(tǒng)調(diào)用失敗、數(shù)據(jù)庫鏈接錯誤等異常情況。如果不能進(jìn)行恰當(dāng)處理，堆棧追蹤、數(shù)據(jù)庫結(jié)構(gòu)、錯誤代碼等內(nèi)部錯誤信息很可能被入侵者獲知，帶來一定的安全隱患。

3.7 遠(yuǎn)程命令執(zhí)行

用戶提供的輸入數(shù)據(jù)在沒有經(jīng)過適當(dāng)驗證情況下，就可以通過Web服務(wù)器進(jìn)行傳遞。入侵者可能利用這個漏洞，使目標(biāo)Web應(yīng)用執(zhí)行他的命令。

3.8 遠(yuǎn)程代碼注入

這一安全漏洞通常是由Web應(yīng)用開發(fā)者存在不良編碼習(xí)慣引起的，如允許沒有經(jīng)過驗證的用戶輸入，造成本地應(yīng)用或遠(yuǎn)程的PHP代碼被包含進(jìn)來。這一漏洞被入侵者利用，實現(xiàn)其向目標(biāo)Web應(yīng)用中注入其他PHP代碼的目的。

4 Web服務(wù)安全性測試技術(shù)

為保障Web服務(wù)安全，消除潛在的漏洞隱患，一方面Web服務(wù)要在用戶的身份標(biāo)識和驗證級別上集成Web站點安全；另一方面要在服務(wù)器與用戶進(jìn)行信息交換的過程增加安全防范措施。目前，通常在身份驗證/授權(quán)、傳輸層安全、應(yīng)用層安全3個領(lǐng)域采取安全措施。

4.1 測試框架

Web應(yīng)用安全性測試框架主要包括威脅建模、測試需求、測試策劃、測試執(zhí)行、報告5個不同階段，具體情況如圖1所示。

第一階段是威脅建模，主要是有效確定安全目標(biāo)，對漏洞隱患進(jìn)行確定和評級。第二階段是測試需求，準(zhǔn)確確定測試對象并合理進(jìn)行資源分配，主要依據(jù)軟件具體需求和威脅剖面素。第三階段是測試策劃，主要是測試策略文檔，通過提供控制策略，有效控制系統(tǒng)程序總體架構(gòu)、資源需求和缺陷，準(zhǔn)確描述測試環(huán)境等一系列情況。第四階段是測試執(zhí)行，及時準(zhǔn)確的記錄測試的結(jié)果。第五階段是報告，對最終測試結(jié)果進(jìn)行詳細(xì)地說明和報告。

4.2 安全性測試技術(shù)

在Web應(yīng)用系統(tǒng)開發(fā)的整個過程中，對整個體系結(jié)構(gòu)的每一個環(huán)節(jié)都進(jìn)行必要的安全性測試，就會發(fā)現(xiàn)其存在的安全漏洞隱患，從而有效提高整個Web應(yīng)用系統(tǒng)的綜合安全性能。在最初的設(shè)計環(huán)節(jié)對安全漏洞進(jìn)行檢測，并及時對漏洞進(jìn)行修復(fù)，可能避免后續(xù)環(huán)節(jié)發(fā)生安全問題。把目標(biāo)部署環(huán)境所關(guān)聯(lián)的設(shè)計作為目標(biāo)對象進(jìn)行通盤考慮和研究設(shè)計，有效提高Web應(yīng)用系統(tǒng)的安全水平?！鞍缀凶印睖y試的主要內(nèi)容是，在Web應(yīng)用系統(tǒng)開發(fā)過程中，依據(jù)源代碼的不同級別對目標(biāo)網(wǎng)站進(jìn)行相應(yīng)安全測試，及時發(fā)現(xiàn)相關(guān)問題并進(jìn)行有效處理。

4.3 應(yīng)用及傳輸安全

Web應(yīng)用系統(tǒng)設(shè)計完成后，要通過一系列的安全測試，發(fā)現(xiàn)系統(tǒng)中存在的漏洞隱患，并有效進(jìn)行修復(fù)?！昂谙渥印睖y試的主要內(nèi)容是，當(dāng)Web應(yīng)用系統(tǒng)已經(jīng)投入使用后，在不影響其正常運行的條件下，積極應(yīng)用遠(yuǎn)程方式進(jìn)行安全測試，模擬黑客攻擊目標(biāo)系統(tǒng)，最大限度對Web應(yīng)用系統(tǒng)安全性進(jìn)行有效測試。

在測試過程中，通常選取應(yīng)用級和傳輸級2個等級層面進(jìn)行測試。應(yīng)用級安全性測試是通過系統(tǒng)自帶程序?qū)δ夸浽O(shè)置、注冊及登錄、在線超時、操作留痕、備份及恢復(fù)進(jìn)行檢查測試，有效排除程序設(shè)計方面存在的安全漏洞隱患。傳輸級安全性測試是以系統(tǒng)傳輸特性為基礎(chǔ)，通過對包括SSL、數(shù)據(jù)加密、防火墻、服務(wù)器腳本漏洞在內(nèi)的從用戶端到服務(wù)器整個數(shù)據(jù)信息傳輸過程進(jìn)行檢查測試，進(jìn)一步增強(qiáng)系統(tǒng)拒絕非法訪問的能力。

參考文獻(xiàn)

[1] 唐修平.Web服務(wù)安全性研究及應(yīng)用[J].湖南工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報，2011（5）：5-7.

[2] 張再華.基于.NET平臺Web服務(wù)安全性的研究與實現(xiàn)[J].電腦知識與技術(shù)：學(xué)術(shù)交流，2012（2X）：1292-1293.

[3] 邢翠芳，李瑛，趙海冰，等.一種移動Web服務(wù)安全性技術(shù)方案[J].計算機(jī)技術(shù)與發(fā)展，2013（4）：122-125.

[4] 周潔，任江春，王志英，等.一種基于Petri網(wǎng)的Web服務(wù)組合安全性動態(tài)檢測技術(shù)[J].計算機(jī)工程與科學(xué)，2014（2）：250-257.