Web 應(yīng)用安全測試方案研究

◆李柳青

（中征（北京）征信有限責任公司天津分公司 天津 300072）

在互聯(lián)網(wǎng)廣泛普及的今天，Web 應(yīng)用作為互聯(lián)網(wǎng)的重要組成部分，正悄無聲息的滲入我們的生活。但Web 應(yīng)用在豐富我們生活的同時，也將眾多信息安全風險引入到我們身邊。因此應(yīng)用安全是Web系統(tǒng)當前面臨的頭等大事。

確保Web 應(yīng)用安全的過程就是安全攻防過程[1]。不存在絕對安全的應(yīng)用，應(yīng)用一經(jīng)對外發(fā)布，就意味著系統(tǒng)風險點的形成，一旦風險被利用，就會形成系統(tǒng)安全漏洞。雖然防火墻、IDS、加固防護等手段層出不窮，但均無法檢測或阻止應(yīng)用層的攻擊。

本文設(shè)計的應(yīng)用安全測試方案旨在檢測出應(yīng)用安全漏洞，極大程度確保應(yīng)用安全。如圖1 所示，本方案是以安全需求評審及代碼安全審計作為前置測試，以自動化掃描及手動滲透為核心測試，以配置核查掃描為后置測試的全流程測試方案。在軟件生命周期各環(huán)節(jié)進行安全把控，提升Web 應(yīng)用的質(zhì)量。

圖1 應(yīng)用安全測試方案

1 常見Web 應(yīng)用安全漏洞分析

業(yè)內(nèi)權(quán)威安全漏洞庫有Bugtraq，CVE。由漏洞庫維護人員對確認的漏洞及脆弱點進行統(tǒng)一編號，其編號是業(yè)界承認的統(tǒng)一標準，也是有助于避免混淆的重要方法。OWASP CHINA 組織成立OWASP TOP 10 項目，收集并處理大量反饋，整理出危害較大的應(yīng)用程序安全風險，以提升開發(fā)及管理人員安全意識，并將其作為應(yīng)用安全標準[2]。表1 列出常見的危害較大的安全漏洞的發(fā)生原因及防范措施。

表1 安全漏洞分析表

2 應(yīng)用安全測試方案概述

本方案貫穿軟件開發(fā)全過程，測試模型如圖2 所示。

圖2 應(yīng)用安全測試方案模型

安全需求評審檢查點中的身份鑒別著重評審口令策略，賬號管理策略，驗證碼機制，身份認證機制；訪問控制主要審查權(quán)限控制，防止橫向及縱向越權(quán)；抗抵賴側(cè)重評審審計日志記錄的操作及內(nèi)容是否足夠，日志訪問及保存方式，日志傳輸過程中的完整性保密性；敏感信息保護側(cè)重評審敏感信息的范圍完整性，傳輸及存儲方式的保密性；信息完整性側(cè)重評審簽名驗簽方式；信息保密性考慮信息加密算法及加密信息是否合理；數(shù)據(jù)備份恢復(fù)評審數(shù)據(jù)備份技術(shù)，頻次，地點及數(shù)據(jù)恢復(fù)方案。

代碼安全審計階段，使用源代碼檢測工具審查代碼，目的在于盡早發(fā)現(xiàn)代碼中的安全缺陷。目前主流的源碼工具有Prefast，F(xiàn)indBugs，F(xiàn)uzz[1]。其中Prefast 是微軟研發(fā)的靜態(tài)代碼審查工具，主要功能是通過分析代碼的數(shù)據(jù)和控制信息來檢測程序中的缺陷。FindBugs 是基于Java 的靜態(tài)代碼分析工具，將字節(jié)碼與一組缺陷模式進行匹配以發(fā)現(xiàn)代碼缺陷，它不僅提供了靈活多樣的過濾器，而且還支持自定義檢查器。Fuzz 利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試目標產(chǎn)生異常，從而發(fā)現(xiàn)相應(yīng)的安全漏洞。Fuzz 是目前最有效的漏洞挖掘技術(shù)。

應(yīng)用安全測試核心階段分為兩個步驟：

（1）自動化掃描及漏洞驗證階段：使用自動化工具進行漏掃，并對漏掃結(jié)果進行驗證；

（2）滲透性測試階段：依據(jù)漏洞驗證結(jié)果，修整系統(tǒng)威脅模型，設(shè)計測試用例，采用滲透測試工具進行測試。

在步驟1 中，運用工具進行自動化掃描的前提是構(gòu)建威脅模型。構(gòu)建威脅模型需要從用戶、過程、數(shù)據(jù)流、數(shù)據(jù)存儲等方面考慮。

自動化工具掃描的主流安全測試工具包括 IBM AppScan、BurpSuite、Nmap、SQLmap，WVSS 等。掃描結(jié)果的驗證是本階段的主要內(nèi)容。對結(jié)果驗證以獲取漏洞點位置，手工錄入驗證漏洞是否存在。如SQL 盲注，驗證方法是在漏洞點輸入或簡單SQL 語句查看返回結(jié)果；跨站腳本攻擊漏洞的驗證方法是輸入攻擊向量后，查看源碼或直接在網(wǎng)頁操作，看是否能對攻擊向量進行過濾或轉(zhuǎn)義；可預(yù)測的登錄憑證通常是通過修改登錄請求報文的形式，多次碰撞提交，對比返回報文的關(guān)鍵信息。通過對漏洞逐一驗證，并修正安全模型，以此作為滲透測試的測試用例設(shè)計依據(jù)。

步驟2 中測試設(shè)計階段包括威脅風險等級評定，功能優(yōu)先級確定，測試用例設(shè)計，測試工具選擇，測試執(zhí)行過程。風險等級評定依據(jù)GB/T30279-2013[3]進行。確定功能優(yōu)先級，主要依據(jù)功能模塊在系統(tǒng)中的重要程度、安全需求以及模塊遭到攻擊后對系統(tǒng)和用戶的影響。用例設(shè)計在威脅模型及漏洞風險值的基礎(chǔ)上，結(jié)合功能優(yōu)先級，針對注入，跨站，身份認證，權(quán)限控制及跨站請求偽造情景進行用例設(shè)計。

用例設(shè)計完成后，需要選擇合適的工具進行滲透測試。業(yè)內(nèi)常用于滲透測試的工具包括IBM AppScan、BurpSuite、SQLmap 等，前兩種用于滲透的集成平臺，SQLmap 主要用于自動檢測應(yīng)用中SQL 注入漏洞的開源程序[4]。滲透執(zhí)行過程中需要記錄風險點位置，測試數(shù)據(jù)，漏洞表現(xiàn)等信息。

配置核查掃描是安全測試后置擴展內(nèi)容，旨在確保部署環(huán)境中網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備及操作系統(tǒng)，數(shù)據(jù)庫軟件，中間件等軟件達到安全配置基線，確保網(wǎng)絡(luò)安全、主機安全。配置核查自動掃描工具內(nèi)置豐富的配置核查知識庫，根據(jù)系統(tǒng)的設(shè)備和軟件不同，可定制配置基線庫[5]。通過執(zhí)行多種命令行為，獲取配置信息，并與安全基線比較，標識風險項。

通過安全需求評審，代碼安全審計，自動化掃描，滲透性測試，配置核查掃描階段，全生命周期進行安全測試的過程，以期盡可能檢測出安全測試漏洞。

3 實驗

本實驗選取已上線且未經(jīng)過安全測試的Web 應(yīng)用系統(tǒng)。本系統(tǒng)在上線前，測試設(shè)計階段耗時14 人天，測試執(zhí)行耗時21 人天，共檢測缺陷253 個。上線后共報出安全測試漏洞5 個，其中，SQL 注入2個，跨站腳本1 個，失效身份認證1 個，跨站請求偽造1 個。安全測試安全需求評審耗時3 人天，代碼安全審計耗時1 人天，自動化掃描耗時1 人天，滲透性測試耗時3 人天，配置核查耗時1 人天。安全測試過程中共發(fā)現(xiàn)安全漏洞73 個。

經(jīng)比對，實施應(yīng)用安全測試導(dǎo)致測試時長增加25.7%，發(fā)現(xiàn)缺陷數(shù)的增量28.9%。據(jù)此說明實施應(yīng)用安全測試是必要的，在適當增加測試時長的情況下，能有效檢測出應(yīng)用安全漏洞。

4 小結(jié)

本文提出了Web 應(yīng)用安全測試方案，本方案通過安全需求評審及代碼安全審計的前置測試，確保安全需求分析到位，提升代碼安全質(zhì)量。利用自動化掃描及滲透性測試進行核心測試，通過配置核查掃描確保設(shè)備及軟件滿足安全基線。

經(jīng)實驗比對，本方案增加測試時長的百分比低于發(fā)現(xiàn)缺陷百分比，在增加一定測試時長的情況下，能極大程度發(fā)現(xiàn)安全漏洞。