白 雪

（遼寧省鐵嶺衛(wèi)生職業(yè)學(xué)院 遼寧 112000）

0 引言

當(dāng)前，很少有軟件應(yīng)用系統(tǒng)能夠離開(kāi)Web模式，并且也成為了今后軟件最主要的發(fā)展方向。雖然對(duì)于軟件測(cè)試還僅僅處于一個(gè)起步階段，但是越來(lái)越多的軟件公司開(kāi)始重視它的存在。而一個(gè)系統(tǒng)質(zhì)量的好壞，測(cè)試也是一項(xiàng)關(guān)鍵性因素。

1 Web常見(jiàn)的安全問(wèn)題

1.1 常見(jiàn)分類(lèi)

目前，Web應(yīng)用匯面臨諸多風(fēng)險(xiǎn)，對(duì)于其風(fēng)險(xiǎn)的分類(lèi)以及安全漏洞也有很多種，本文主要是通過(guò)國(guó)外權(quán)威機(jī)構(gòu)對(duì)于Web安全層次性的理解，從而將其大致分為了三個(gè)層次風(fēng)險(xiǎn)：

第一，網(wǎng)絡(luò)邊界安全：主要是網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、路由器、防火墻等方面的安全性問(wèn)題，除了部分配置問(wèn)題之外，絕大部分都涉及到系統(tǒng)分布、結(jié)構(gòu)所造成的安全性問(wèn)題；第二，Web應(yīng)用程序安全：Web應(yīng)用程序在提供服務(wù)時(shí)可能會(huì)存在安全性漏洞，這一些文體的出現(xiàn)主要是因?yàn)樵谧兣c存的時(shí)候，Web應(yīng)用程序存在一定缺陷所引起的；第三，服務(wù)于系統(tǒng)安全：操作系統(tǒng)和在操作系統(tǒng)上運(yùn)行的應(yīng)用服務(wù)的安全，例如Unix/ Window等系統(tǒng)本身存在漏洞或者是其上的Web應(yīng)用服務(wù)器安全存在問(wèn)題，例如：Weblogic/Apache/IIS等應(yīng)用服務(wù)器本身存在的安全性漏洞。

1.2 Web應(yīng)用常見(jiàn)的安全缺陷

1.2.1 網(wǎng)絡(luò)邊界

（1）網(wǎng)絡(luò)結(jié)構(gòu)不夠合理。作為Web應(yīng)用服務(wù)的基礎(chǔ)，如果存在網(wǎng)絡(luò)結(jié)構(gòu)不合理情況，例如：不合理的防火墻位置或者是不合理的Web應(yīng)用服務(wù)器位置，都可能導(dǎo)致Web應(yīng)用系統(tǒng)安全機(jī)制失去效力，導(dǎo)致Web應(yīng)用完全暴露在外部攻擊中，常見(jiàn)的拒絕服務(wù)攻擊一般都是因?yàn)榫W(wǎng)絡(luò)結(jié)構(gòu)的不合理，無(wú)法對(duì)這一類(lèi)型的攻擊加以抵御，甚至是因?yàn)閮?nèi)部病毒的傳播，也可能因?yàn)橥負(fù)浣Y(jié)構(gòu)的不合適，導(dǎo)致病毒傳播。

（2）傳輸層保護(hù)不夠充分。傳輸層保護(hù)不夠充分主要是在信息的傳輸過(guò)程中，第三方不可信的組件獲取訪問(wèn)，也就是對(duì)于站點(diǎn)所傳輸?shù)男畔ⅲ瑳](méi)有使用SSL/TLS進(jìn)行加密或者是加密機(jī)制存在一定問(wèn)題，導(dǎo)致這一部分信息被非法用戶獲取，甚至是對(duì)通信內(nèi)容加以篡改。

1.2.2 Web應(yīng)用程序

（1）輸入處理錯(cuò)誤。在Web應(yīng)用程序常見(jiàn)的弱點(diǎn)中，輸入處理無(wú)措是常見(jiàn)的弱點(diǎn)之一，例如：緩沖區(qū)的溢出、命令執(zhí)行、SQL注入等都是由于輸入處理錯(cuò)誤所造成的。在進(jìn)行Web應(yīng)用程序的輸入處理，一般都是對(duì)輸入信息加以驗(yàn)證、過(guò)濾、編解碼等內(nèi)容，如果信息驗(yàn)證不全面或者是代碼中存在邏輯錯(cuò)誤，就可能出現(xiàn)非法信息被當(dāng)做了正常數(shù)據(jù)，從而通過(guò)Web應(yīng)用程序進(jìn)行邏輯處理，從而導(dǎo)致Web應(yīng)用出現(xiàn)損害。在這一問(wèn)題處理中，需要針對(duì)所有來(lái)自客戶端的數(shù)據(jù)，例如：HTTP請(qǐng)求中所有內(nèi)容、表單信息，都認(rèn)為可能有安全風(fēng)險(xiǎn)的存在，只有通過(guò)檢驗(yàn)，才能夠被邏輯程序加以處理。

（2）輸出處理錯(cuò)誤。輸出處理主要指的是應(yīng)用程序如何產(chǎn)生輸出數(shù)據(jù)，一般來(lái)說(shuō)，錯(cuò)誤的輸出處理包含了協(xié)議錯(cuò)誤、數(shù)據(jù)處理錯(cuò)誤以及應(yīng)用程序錯(cuò)誤三個(gè)方面。如果信息被直接返回給訪問(wèn)者，就可能導(dǎo)致Web應(yīng)用系統(tǒng)敏感的信息出現(xiàn)泄露的情況，或者是惡意攻擊人員就可能通過(guò)返回的錯(cuò)誤信息對(duì)于Web應(yīng)用是否存在特定安全的問(wèn)題加以判斷。

（3）信息泄露；信息泄露主要是Web應(yīng)用程序當(dāng)中敏感的信息被非法進(jìn)行訪問(wèn)，例如：在Web應(yīng)用當(dāng)中的用戶設(shè)置信息、技術(shù)細(xì)節(jié)以及環(huán)境信息等方面的問(wèn)題，一旦被泄露，就可能?chē)?yán)重影響到Web應(yīng)用。因此，需要采取一定的手段來(lái)防止信息泄露，一般，主要是以下幾種原因?qū)е滦畔⑿孤叮鹤⑨尨a當(dāng)中存在敏感信息、對(duì)于合法與非法的的輸入數(shù)據(jù)應(yīng)用程序都有著不同的頁(yè)面相應(yīng)或者是應(yīng)用程序出現(xiàn)了配置不當(dāng)?shù)惹闆r。

（4）索引不安全；索引不安全主要指的是能夠?qū)γ舾形募M(jìn)行訪問(wèn)的過(guò)程對(duì)敏感信息進(jìn)行訪問(wèn)，以此來(lái)判斷文件的存在以及文件的具體內(nèi)容，這一部分信息都是通過(guò)服務(wù)索引所獲取的。針對(duì)這一個(gè)問(wèn)題，有一個(gè)典型的例子，GOOGLE HACK通過(guò)搜索引擎從而獲取了站點(diǎn)信息，就有可能將站點(diǎn)輩備份的代碼位置獲取、后臺(tái)管理地址，甚至包含了數(shù)據(jù)庫(kù)存放的地址。像這一類(lèi)型的安全攻擊就難以預(yù)防，這是因?yàn)閷?duì)于合法請(qǐng)求、非法請(qǐng)求很難分開(kāi)，如果想要解決這一問(wèn)題，需要對(duì)權(quán)限加以控制，也可以通過(guò)robots.txt等手段避免不應(yīng)泄露的信息被泄露出去。

2 Web服務(wù)安全性測(cè)試框架

Web服務(wù)系統(tǒng)的安全性測(cè)試框架主要分為了以下幾個(gè)階段，從下面的圖1中可以看出：

圖1 Web服務(wù)安全性測(cè)試框架

第一階段主要是確定安全目標(biāo)，確定威脅漏洞并且做好評(píng)級(jí)；第二階段要求結(jié)合軟件的具體需求以及威脅，從而確定好測(cè)試對(duì)象與內(nèi)容，并且做好資源的分配；第三階段的測(cè)試策略文檔記錄主要是做好應(yīng)用系統(tǒng)中程序總統(tǒng)架構(gòu)、缺陷跟蹤變更以及資源需求的 控制，二測(cè)試計(jì)劃主要是描述人員進(jìn)度安全、測(cè)試環(huán)境以及安全測(cè)試需求等方面；在測(cè)試的執(zhí)行以及報(bào)告階段則是記錄測(cè)試結(jié)果并且創(chuàng)建出測(cè)試報(bào)告。

3 安全性測(cè)試技術(shù)

3.1 體系安全性

測(cè)試Web應(yīng)用系統(tǒng)的體系結(jié)構(gòu)的安全性可以找出很多的漏洞，因此，也有利于提升Web應(yīng)用系統(tǒng)的整體安全性。在設(shè)計(jì)階段，檢測(cè)并修復(fù)安全漏洞，就能夠?qū)⒑笃诔霈F(xiàn)的安全問(wèn)題加以解決，并且也有利于提高安全測(cè)試的經(jīng)濟(jì)型。在開(kāi)發(fā)階段，充分考慮到目標(biāo)部署環(huán)境的相關(guān)設(shè)計(jì)，才有利于完善Web應(yīng)用系統(tǒng)，也有利于其安全性。

3.2 應(yīng)用和傳輸安全

在Web應(yīng)用系統(tǒng)設(shè)計(jì)完畢之后，對(duì)于系統(tǒng)當(dāng)中的漏洞，就可以通過(guò)安全性測(cè)試對(duì)于可能存在的漏洞加以修復(fù)，并且完善未來(lái)的設(shè)計(jì)與創(chuàng)建工作。“黑箱子”的測(cè)試手段也就是在正常運(yùn)行使用目標(biāo)系統(tǒng)之后，可以通過(guò)對(duì)于Web應(yīng)用系統(tǒng)正常運(yùn)行不影響的方式進(jìn)行遠(yuǎn)程的安全技術(shù)測(cè)試，通過(guò)黑客入侵的模擬，來(lái)實(shí)現(xiàn)在模擬攻擊下目標(biāo)系統(tǒng)的安全性測(cè)試。進(jìn)行Web應(yīng)用系統(tǒng)的安全性技術(shù)測(cè)試主要分為了應(yīng)用級(jí)、傳輸級(jí)。應(yīng)用級(jí)的安全性測(cè)試是通過(guò)檢查Web應(yīng)用系統(tǒng)的自我程序，并且找出設(shè)計(jì)當(dāng)中可能存在的安全漏洞，在測(cè)試應(yīng)用級(jí)上，主要包含了目錄設(shè)置、在線超時(shí)、注冊(cè)、登陸、備份、恢復(fù)等多個(gè)區(qū)域測(cè)試；傳輸級(jí)主要是針對(duì)Web應(yīng)用系統(tǒng)的傳輸特殊性，測(cè)試目標(biāo)主要是數(shù)據(jù)信息從客戶端傳輸?shù)椒?wù)器這一過(guò)程中的安全漏洞，這也有利于服務(wù)器拒絕非法訪問(wèn)能力的提升，傳輸級(jí)測(cè)試內(nèi)容包含了防火墻、SSL、數(shù)據(jù)加密等。

總之，本論文主要是基于Web常見(jiàn)的安全問(wèn)題，從而提出了常見(jiàn)缺陷和主要的安全性測(cè)試技術(shù)，希望能夠?qū)窈蟮腤eb應(yīng)用系統(tǒng)的安全性測(cè)試技術(shù)提供一部分幫助。

[1] 于莉莉，杜蒙杉，張平，紀(jì)玲利. Web安全性測(cè)試技術(shù)綜述[J].計(jì)算機(jī)應(yīng)用研究.2012(11)：56-57

[2] 朱輝.沈明星.李善平.Web應(yīng)用中代碼注入漏洞的測(cè)試方法[J].計(jì)算機(jī)工程.2010(10)：77-78

[3] 馬琳,羅鐵堅(jiān),宋進(jìn)亮,葉世偉.Web性能測(cè)試與預(yù)測(cè)[J].中國(guó)科學(xué)院研究生院學(xué)報(bào).2005(04)：96-97