对Web安全性测试技术的分析

   随着互联网技术水平的不断高,Web应用发展成为软件开发的一个主流方向,同时其本身存在的一系列安全漏洞也开始不断暴露,埋下了严重的安全隐患。鉴于此,本文基于Web安全性测试技术进行相应探讨。 
   关键词 Web安全性测试;应用系统;分析 
  1 引言 
  由于互联网技术水平的升,Web应用发展成为软件开发的大趋势,但是本身也会涌现出安全漏洞,带来了某些安全隐患。所以积极对Web安全性测试技术进行有效的分析。 
  2 Web安全性测试概述 
  2.1 Web的组成 
  Web应用系统具有高度完整性,其实际组成是比较复杂的,正是由于复杂组件及彼此间复杂关系的存在,才能为用户供更为强大的服务。如和Web站点进行实时而便捷的交互,从而让Web应用系统所涉及的活动均能够通过后台数据库接口共享。一个完整的Web应用系统主包括的核心组件用户接口代码、Web应用服务器软件、前端系统、后台系统、数据库系统等。 
  2.2 Web安全性测试的意义 
  随着互联网技术水平的不断高,Web应用发展成为软件开发的一个主流方向,同时其本身存在的一系列安全漏洞也开始不断暴露。正是由于这些漏洞的存在,加大了Web应用被恶意攻击的可能,这将会导致一系列损失严重的连锁反应。Web 应用之所以存在安全漏洞,可能受限于开发人员技术水平或者安全意识薄弱,但大部分原因在于没有重视和实施全面且彻底的安全性能测试。由此可见,Web安全性测试具有相当积极的现实意义。 
  3 Web应用安全漏洞 
  现阶段,Web应用中较为典型的安全漏洞主包括八大类。 
  未被验证的输入——入侵者对HTTP请求的相关部分进行窜改,从而突破站点的安全机制。 
  SQL注入——SQL注入指的是,入侵者在输入域中插入某些特殊字符,更改SQL查询的原有功能,骗过数据库服务器以完成有目的的非法操作。 
  跨站点脚本——跨站点脚本指的是,入侵者于客户端通过Web页面交的输入数据中嵌入某些恶意代码,如果服务器对该类数据不做过滤处理便予以直接返回,那么其他用户打开该Web页面之后,恶意代码将会在他们的客户端被执行,从而满足入侵者目的。 
  缓冲区溢出——发送某些特定请求给Web应用,使后者执行相关代码。 
  隐藏的字段——入侵者修改HTML源文件中的相关隐藏字段,从而满足入侵目的。 
  不恰当的异常处理——不恰当的异常处理有可能把相关内部错误信息供给入侵者,如此一来,给Web应用埋下了极大的安全隐患。 
  远程命令执行——Web服务器在某些情况下可能将用户的一些输入数据未经处理便简单地传递给其他操作系统,给入侵者留下了可趁之机。 
  远程代码注入——导致这一漏洞的绝大多数原因在于,Web开发者存在不科学的编码习惯,如允许那些没有经过验证的用户输入,导致本地应用或者远程PHP代码被人为包含进来,给入侵者供了机会。 
  4 Web安全性测试技术 
  4.1 Web应用安全性测试框架 
  Web应用安全性测试框架如图1所示。该框架主包括五个不同阶段。 
  阶段一威胁建模——对安全目标进行有效确定,对可能的威胁漏洞予以确定与评级。 
  阶段二测试需求——根据软件具体需求以及威胁剖面这两大素,对测试对象以及内容予以准确确定和有机地资源分配。 
  阶段三测试策划阶段——测试策略文档是该阶段的重内容,供相应控制策略以实现对系统程序总统架构、资源需求、缺陷的有效控制,另外通过测试计划对以测试环境为代表的一系列情况进行必描述。 
  阶段四测试执行——对测试结果予以及时且准确地记录。 
  阶段五报告阶段——创建并供最终的测试结果。 
  4.2 体系安全性 
  以Web应用系统为目标对象,对其体系结构施以安全性测试,将会找出一些潜在的漏洞,如此一来,便能够使Web应用系统的综合安全性更上一个台阶。在设计阶段就应该着手于安全漏洞的检测,并予以必修复,这样才能有效规避一系列后期可能发生的安全问题,同时节省一部分费用支出。在开发过程中,以目标部署环境所涉及的有关设计为目标对象,予以全面而深入地考虑,能够在一定程度上高Web应用系统安全系数,使其更加完善和高效。
  此类“白盒子”测试方法的主内容是,在开发阶段,按照源代码级别对目标网站施以相应的安全测试。通常情况下,该类测试对测试人员的专业素质出了较高求,求测试人员拥有扎实的Web系统安全编码理论基础以及娴熟的编码技巧,能够针对Web系统的全部源码进行准确校对,以便及时发现问题和解决问题。 
  4.3 应用及传输安全 
  在Web应用系统设计结束的情况下,可借助一系列安全性测试来有效修复系统中潜在的某些漏洞,还可对未来创建与设计进行必完善。“黑箱子”测试手段指的是,在目标系统已经投入使用的情况下,积极运用那些不会给Web应用系统正常运行带来不利影响(或者影响很小)的方法以远程方式进行安全技术测试,模拟以黑客入侵为代表的攻击方式对目标系统进行模拟攻击,从而实现对其安全性的有效测试。 
  对Web应用系统进行安全性测试的过程中,通常选取两个等级层面入手,一个是应用级,另一个是传输级测试。进行应用级安全性测试时,主借助Web应用系统自带的检查程序进行相关检查,以期发现系统在程序设计方面有可能存在的安全漏洞,应用级安全性测试主包括内容对目录设置进行测试,对注册及登录进行测试,对在线超时进行测试,对操作留痕进行测试,对备份及恢复进行测试。传输级安全性测试指的是,以Web应用系统本身具有的传输特殊性为基础,对数据信息由客户端到服务器端整个传输过程可能存在的那些安全漏洞进行测试,从而强化服务器抵御非法访问的能力,传输级安全性测试主包括内容对SSL进行检验,对数据加密进行检验,对防火墙进行检验,对服务器脚本漏洞进行检验等。
  5 结束语 
  目前,Web安全标准规范正在朝着不断完善的方向发展,这给其安全性测试技术出了更为严格的求,在此背景下,Web安全测试技术及与之有关的支持软件也将受到人们的重视。总而言之,Web安全测试技术必将迎来新的发展阶段,为人们供更大的便利,创造更大的财富。 
  参考文献 
  1 于莉莉,杜蒙杉,张平,纪玲利. Web安全性测试技术综述J. 计算机应用研究,212,1141-45. 
  2 朱玉林.试论Web应用系统的安全性测试技术J.电脑编程技巧与维护,213,292-93. 
  3 周薇.数据库系统安全性测试技术研究J.计算机技术与发展,214,256-57. 
  4 潘陈滨.Web 应用系统的安全性测试技术探讨J.电子技术与软件工程,214,28242.