鄔凌敏 江西省國(guó)防科工辦 南昌市 330046

基于Web應(yīng)用系統(tǒng)攻擊和漏洞測(cè)試技術(shù)研究

鄔凌敏 江西省國(guó)防科工辦 南昌市 330046

隨著WEB 應(yīng)用程序在更廣泛范圍的使用及WEB 工程概念的提出，Web 安全的測(cè)試就成為一項(xiàng)重要的工作。而Internet 和Web 媒體的不可預(yù)見(jiàn)性使得測(cè)試變得困難，必須為測(cè)試復(fù)雜的基于Web 的系統(tǒng)研究新的方法和技術(shù)。文章在分析WEB 系統(tǒng)的部署環(huán)境、應(yīng)用程序、數(shù)據(jù)庫(kù)和系統(tǒng)容錯(cuò)等方面存在安全漏洞的基礎(chǔ)上，對(duì)Web 安全測(cè)試的要點(diǎn)和方法進(jìn)行了探討。實(shí)踐表明，提高Web應(yīng)用系統(tǒng)的安全性具有現(xiàn)實(shí)意義，可以減少因Web應(yīng)用漏洞而對(duì)網(wǎng)絡(luò)系統(tǒng)帶來(lái)的安全問(wèn)題。

Web 應(yīng)用系統(tǒng) 軟件安全 測(cè)試技術(shù)

0 引言

隨著互聯(lián)網(wǎng)和電子商務(wù)的廣泛應(yīng)用，基于web的應(yīng)用系統(tǒng)（以下簡(jiǎn)稱web應(yīng)用系統(tǒng)）得到了越來(lái)越廣泛的使用。除了傳統(tǒng)的應(yīng)用如新聞網(wǎng)站、電子郵件等等外，目前越來(lái)越多的關(guān)鍵性任務(wù)也使用web應(yīng)用系統(tǒng)來(lái)完成，例如網(wǎng)上銀行、網(wǎng)上證券、網(wǎng)上購(gòu)物等涉及到金錢交易的應(yīng)用，以及政府部門使用互聯(lián)網(wǎng)來(lái)開展電子政務(wù)等等。這些關(guān)鍵性的應(yīng)用對(duì)軟件安全的要求越來(lái)越高，如果由于軟件不安全造成信息泄露或系統(tǒng)破壞，將會(huì)帶來(lái)巨大的損失。因此，確保web應(yīng)用系統(tǒng)的安全是非常重要的。不幸的是，由于web應(yīng)用系統(tǒng)及其應(yīng)用環(huán)境的開放性。Web應(yīng)用系統(tǒng)基于http協(xié)議開發(fā)，而這種協(xié)議是無(wú)狀態(tài)的，web應(yīng)用系統(tǒng)需要自己記錄軟件狀態(tài)信息并在客戶端與服務(wù)器之間來(lái)回傳送，這就導(dǎo)致軟件的內(nèi)部信息容易被篡改而出現(xiàn)安全問(wèn)題。同時(shí)，由于web應(yīng)用軟件的客戶機(jī)端是開放的，任何用戶都可以訪問(wèn)并使用因此，它很容易受到惡意用戶的攻擊。

因此，web應(yīng)用系統(tǒng)在部署和使用前，需要進(jìn)行廣泛的測(cè)試，以確保其在復(fù)雜的應(yīng)用環(huán)境中能正常運(yùn)行而不至于導(dǎo)致安全問(wèn)題。特別是對(duì)于電子政務(wù)系統(tǒng)、銀行證券等金融系統(tǒng)和網(wǎng)上交易等電子商務(wù)系統(tǒng)而言，在WEB 系統(tǒng)部署前進(jìn)行充分的安全性測(cè)試是非常必要的。

1 Web網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全攻擊技術(shù)

目前，在典型的IWS 16標(biāo)準(zhǔn)中，主要分為4種類型的行為：收集信息攻擊、獲取訪問(wèn)權(quán)限攻擊、拒絕服務(wù)攻擊和逃避檢測(cè)攻擊。針對(duì)Web應(yīng)用系統(tǒng)軟件．進(jìn)行攻擊的方法和技術(shù)主要有以下幾種：

1）COOKIE假冒

精心修改COOKIE數(shù)據(jù)并進(jìn)行用戶假冒。

2）認(rèn)證逃避

攻擊者利用不安全的證書和身份來(lái)逃避管理。

3）非法輸入

在動(dòng)態(tài)網(wǎng)頁(yè)的輸人中使用各種非法數(shù)據(jù)，獲取服務(wù)器敏感信息。

4）緩沖區(qū)溢出

攻擊者利用超出緩沖區(qū)大小的請(qǐng)求和構(gòu)造的二進(jìn)制代碼讓服務(wù)器執(zhí)行溢出堆棧中的惡意指令。

5）強(qiáng)制訪問(wèn)

訪問(wèn)未授權(quán)的網(wǎng)頁(yè)。

6）隱藏變量修改

對(duì)網(wǎng)頁(yè)中的隱藏變量進(jìn)行修改，欺騙服務(wù)器程序。

7）拒絕服務(wù)攻擊

構(gòu)造大量的非法請(qǐng)求。使WEB服務(wù)器不能進(jìn)行正常用戶的訪問(wèn)。

8）跨站腳本攻擊

提交非法腳本．趁其他用戶瀏覽時(shí)盜取其賬號(hào)等信息。

9）SQL注入

構(gòu)造SQL代碼讓服務(wù)器執(zhí)行，獲取敏感信息，并獲得相應(yīng)的權(quán)限。攻擊者在普通用戶輸入中插人數(shù)據(jù)庫(kù)查詢指令。在大多數(shù)情況下，這是因?yàn)檩斎霗z驗(yàn)不嚴(yán)格以及在錯(cuò)誤的代碼層中編碼造成的，攻擊者由此可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行查詢、刪除和修改等操作：在特定的情況下，甚至還可以執(zhí)行系統(tǒng)指令。

2 Web應(yīng)用系統(tǒng)漏洞檢測(cè)技術(shù)

2.1 Web 應(yīng)用程序部署環(huán)境測(cè)試

用來(lái)架構(gòu)Web網(wǎng)站的UNIX、LINUX、WINDOWS 等服務(wù)器端操作系統(tǒng)和服務(wù)器軟件都可能存在漏洞，這些漏洞都會(huì)對(duì)Web應(yīng)用程序造成安全威脅。因此，在部署Web應(yīng)用程序前，應(yīng)對(duì)Web應(yīng)用程序的部署環(huán)境進(jìn)行嚴(yán)格的測(cè)試，檢查一切已知的漏洞，發(fā)現(xiàn)新的漏洞，將應(yīng)用程序環(huán)境帶來(lái)的安全威脅降底到最低程度。

2.2 應(yīng)用程序測(cè)試

應(yīng)用程序中存在的漏洞是影響Web安全的主要方面，程序員編寫的軟件都可能有漏洞，有些漏洞可能要經(jīng)過(guò)許多年后才會(huì)被發(fā)現(xiàn)。特別是不斷新加的功能，這些改動(dòng)，都會(huì)帶來(lái)安全方面的問(wèn)題。因此，應(yīng)用程序測(cè)試要伴隨著系統(tǒng)開發(fā)、部署和運(yùn)行的全過(guò)程。

1）SQL 注入漏洞

微軟技術(shù)中心從兩個(gè)方面對(duì)SQL注入攻擊進(jìn)行了描述：一是腳本注入式的攻擊；二是惡意用戶輸入用來(lái)影響被執(zhí)行的SQL腳本。SQL注入就其本質(zhì)而言，是利用SQL語(yǔ)法，對(duì)應(yīng)用程序中的漏洞的攻擊。當(dāng)攻擊者能夠操縱數(shù)據(jù)，在應(yīng)用程序中插入一些SQL語(yǔ)句時(shí)，SQL注入攻擊就發(fā)生了。理論上，這種攻擊對(duì)于所有基于SQL語(yǔ)言標(biāo)準(zhǔn)的數(shù)據(jù)庫(kù)軟件都是有效的，包括MS SQL Server，Oracle，DB2，Sybase，MySQL等。特別是現(xiàn)在一些AQL注入攻擊工具的出現(xiàn)，使得Web應(yīng)用更易遭到SQL注入攻擊。原始的手工測(cè)試不適用于大型Web應(yīng)用程序，可使用N-Stealth、WebInspect、Wikto WebScarab、Nikto等工具進(jìn)行掃描，測(cè)試系統(tǒng)是否存在SQL注入的安全漏洞。為防止SQL注入，程序員編寫代碼時(shí)，要對(duì)客戶端和服務(wù)端進(jìn)行兩級(jí)檢查。檢查數(shù)據(jù)類型、數(shù)據(jù)長(zhǎng)度和敏感字符的合法性?？蛻舳藱z查可減少網(wǎng)絡(luò)流量，降低服務(wù)器負(fù)荷，將一般誤操作、低等級(jí)攻擊與高等級(jí)攻擊行為區(qū)分開來(lái)。對(duì)于繞開客戶端檢查的攻擊，提交的數(shù)據(jù)被直接發(fā)往服務(wù)端，服務(wù)端檢查到的提交異?；究梢哉J(rèn)定為惡意攻擊行為所致，就應(yīng)中止提交信息的處理，進(jìn)行攻擊備案，并對(duì)客戶端給出出錯(cuò)或警告提示。另外，在構(gòu)造查詢時(shí)，應(yīng)根據(jù)用戶輸入的內(nèi)容設(shè)置參數(shù)值來(lái)創(chuàng)建參數(shù)化查詢，從而避免SQL注入及由此帶來(lái)的安全問(wèn)題。

2）表單漏洞測(cè)試

表單提交的數(shù)據(jù)的驗(yàn)證和服務(wù)端數(shù)據(jù)接收的方法直接影響到Web 的安全。隨著大量的支持參數(shù)的“模糊化”（“fuzzing”）、腐朽（corruption）、以及野蠻強(qiáng)制增長(zhǎng)工具的出現(xiàn)，使用非校驗(yàn)輸入進(jìn)行攻擊造成的安全問(wèn)題越來(lái)越多。因此，表單漏洞測(cè)試是Web安全所必需的。

3）Cookie驗(yàn)證漏洞測(cè)試

如果系統(tǒng)使用了cookie，就要對(duì)cookie 的使用情況進(jìn)行檢測(cè)。檢查Cookies 在生存期內(nèi)能否正常工作而且對(duì)這些信息是否加密，是否按預(yù)定的時(shí)間進(jìn)行保存，是否存在cookie 可被偽造提交的問(wèn)題，刷新對(duì)Cookie 有什么影響及過(guò)期處理等。

4）用戶身份驗(yàn)證測(cè)試

用戶身份驗(yàn)證測(cè)試主要檢查無(wú)效的用戶名和密碼能否登錄，密碼是否對(duì)大小寫敏感，是否有驗(yàn)證次數(shù)的限制，是否存在不驗(yàn)證而直接進(jìn)入Web 應(yīng)用系統(tǒng)的問(wèn)題，是否存在不登錄就可查看非會(huì)員頁(yè)面和權(quán)限問(wèn)題，客戶端提交的密碼是否加密，服務(wù)端驗(yàn)證密碼是否使用了MD5。用戶身份驗(yàn)證測(cè)試一般使用手工和測(cè)試工具相結(jié)法的方法，若在測(cè)試中發(fā)現(xiàn)問(wèn)題，應(yīng)及時(shí)修改代碼，使用加密碼算法對(duì)密碼加密，采用Session 對(duì)象進(jìn)行登錄驗(yàn)證。

5）文件操作漏洞測(cè)試

若系統(tǒng)有上傳文件的功能，測(cè)試系統(tǒng)是否允許上傳腳本文件、可執(zhí)行文件等有可能給系統(tǒng)帶來(lái)危害的文件。若有下載功能，可供下載的文件是否與系統(tǒng)的程序分別存放，是否存在數(shù)據(jù)庫(kù)文件、包含文件和頁(yè)面文件下載的可能。文件操作漏洞測(cè)試一般使用手工測(cè)試的方法，若發(fā)現(xiàn)問(wèn)題，應(yīng)及時(shí)修改代碼并將可供下載的文件重新部署。

6）Session 測(cè)試

Session測(cè)試主要檢查Web應(yīng)用系統(tǒng)是否有超時(shí)的限制，也就是檢查用戶登錄后在一定時(shí)間內(nèi)沒(méi)有點(diǎn)擊任何頁(yè)面，是否需要重新登錄才能正常使用，檢查超時(shí)后能否自動(dòng)退出，退出之后，瀏覽器回退按鈕是否可以回到登錄頁(yè)面。Session測(cè)試一般使用手工測(cè)試和工具測(cè)試相結(jié)合的方法，若發(fā)現(xiàn)問(wèn)題，應(yīng)及時(shí)修改代碼。

7）跨網(wǎng)站腳本(XSS)漏洞測(cè)試

對(duì)于呈增長(zhǎng)趨勢(shì)的跨站腳本（XSS）攻擊，可使用內(nèi)嵌檢測(cè)的方式進(jìn)行處理。使用WebInspect工具識(shí)別所有的假造參數(shù)，使用DevInspect工具通過(guò)特定代碼關(guān)聯(lián)在頁(yè)面上發(fā)現(xiàn)安全缺陷，對(duì)于顯示代碼，采用CSE HTML Validator工具進(jìn)行測(cè)試。若在檢測(cè)中發(fā)現(xiàn)系統(tǒng)存在跨站腳本(XSS)漏洞，使用輸出數(shù)據(jù)編碼也就是將任何數(shù)據(jù)返回給用戶前均采用HTML編碼，可以有效防止跨站點(diǎn)腳本攻擊。因?yàn)橥ㄟ^(guò)HTML編碼，可將大多數(shù)腳本命令自動(dòng)轉(zhuǎn)換為無(wú)害文本。

8）命令注射漏洞測(cè)試

命令注射漏洞測(cè)試主要檢查所有調(diào)用外部資源(例如system、exec、fork，或者所有的發(fā)出請(qǐng)求的語(yǔ)法)的源代碼，查找那些來(lái)自于HTTP請(qǐng)求的輸入可能發(fā)起調(diào)用的所有地方。使用相同功能的專門的庫(kù)函數(shù)來(lái)代替shell命令和一些系統(tǒng)調(diào)用，可以抵御命令注射的攻擊，另外一種避免命令注射的保護(hù)措施就是確保Web應(yīng)用程序只是根據(jù)它所要執(zhí)行某個(gè)功能時(shí)所需的最小權(quán)限來(lái)實(shí)現(xiàn)這個(gè)功能。如果必須使用外部命令的話，任何被插入命令的用戶信息必須仔細(xì)地審查，設(shè)立一定的機(jī)制來(lái)處理可能出現(xiàn)的錯(cuò)誤、超時(shí)、或者在調(diào)用過(guò)程中出現(xiàn)的阻塞。

2.3 數(shù)據(jù)庫(kù)問(wèn)題測(cè)試

在Web應(yīng)用中，數(shù)據(jù)庫(kù)起著重要的作用，數(shù)據(jù)庫(kù)為Web應(yīng)用系統(tǒng)的管理、運(yùn)行、查詢和實(shí)現(xiàn)用戶對(duì)數(shù)據(jù)存儲(chǔ)的請(qǐng)求等提供空間。因此，Web應(yīng)用系統(tǒng)中數(shù)據(jù)庫(kù)安全測(cè)試是一個(gè)重要的方面。與數(shù)據(jù)庫(kù)相關(guān)的應(yīng)用級(jí)漏洞如SQL注入和跨站點(diǎn)腳本攻擊等問(wèn)題前面已提及，在此只討論數(shù)據(jù)庫(kù)本身及數(shù)據(jù)庫(kù)使用方面的漏洞。

1）數(shù)據(jù)庫(kù)名稱和存放位置安全檢測(cè)

一個(gè)常規(guī)的數(shù)據(jù)庫(kù)名稱，并且存放在與Web應(yīng)用程序文件相同或相關(guān)的位置，很容易被下載。若在程序代碼中包含有數(shù)據(jù)庫(kù)名稱和數(shù)據(jù)庫(kù)文件絕對(duì)位置，一旦代碼丟失，同樣存在暴庫(kù)的危險(xiǎn)。因此，在部署數(shù)據(jù)庫(kù)和編寫相關(guān)的代碼時(shí)，要避免問(wèn)題的發(fā)生。

2）數(shù)據(jù)庫(kù)本身的安全檢測(cè)

對(duì)數(shù)據(jù)庫(kù)本身的安全檢測(cè)主要檢查數(shù)據(jù)庫(kù)是否配置了不同的存取權(quán)限，所有操作是否都可以審計(jì)追蹤，敏感數(shù)據(jù)是否加密等。為了保證數(shù)據(jù)庫(kù)的安全，不同權(quán)限的用戶定義不同的視圖，以限制用戶的訪問(wèn)范圍；不同的敏感數(shù)據(jù)采取不同的加密算法，重要的數(shù)據(jù)分開存儲(chǔ)。

3）數(shù)據(jù)使用時(shí)的一致性和完整性測(cè)試

Web應(yīng)用系統(tǒng)中，使用數(shù)據(jù)庫(kù)時(shí)，可能發(fā)生數(shù)據(jù)的一致性和完整性錯(cuò)誤，因此，要檢測(cè)系統(tǒng)中是否有事務(wù)管理和故障恢復(fù)功能，確認(rèn)事務(wù)數(shù)據(jù)是否正確保存，檢測(cè)系統(tǒng)是否有定期數(shù)據(jù)備份功能。

2.4 容錯(cuò)測(cè)試

正常操作時(shí)，Web應(yīng)用程序也總會(huì)有錯(cuò)誤出現(xiàn)，如內(nèi)存溢出、空指針異常、系統(tǒng)調(diào)用失敗、數(shù)據(jù)庫(kù)不可用、網(wǎng)絡(luò)超時(shí)等。不當(dāng)?shù)某鲥e(cuò)處理可能給網(wǎng)站帶來(lái)各種各樣的安全問(wèn)題，因此，要對(duì)Web應(yīng)用程序的錯(cuò)誤處理進(jìn)行測(cè)試，以保證為用戶提供一份有意義的出錯(cuò)信息，為網(wǎng)站維護(hù)人員提供診斷信息，而不是為攻擊者提供有用的信息。

1）容錯(cuò)方案及方案一致性測(cè)試

出錯(cuò)處理應(yīng)該在整個(gè)網(wǎng)站中保持一致性，并且每一個(gè)出錯(cuò)處理片斷都應(yīng)該是一個(gè)整體設(shè)計(jì)方案中的一部分。通過(guò)代碼檢查，測(cè)試系統(tǒng)差錯(cuò)處理方案是否合理，方案是否可以處理所有可能發(fā)生的錯(cuò)誤，方案中是否存在泄漏設(shè)計(jì)細(xì)節(jié)的問(wèn)題，是否存在不同的差錯(cuò)處理方案。

2）接口容錯(cuò)測(cè)試

檢測(cè)瀏覽器與服務(wù)器的接口是否正確，中斷用戶到服務(wù)器的網(wǎng)絡(luò)連接時(shí)，系統(tǒng)是否能夠正確處理數(shù)據(jù)；對(duì)于有外部接口的Web系統(tǒng)，如網(wǎng)上商店可能要實(shí)時(shí)驗(yàn)證信用卡數(shù)據(jù)以減少欺詐行為的發(fā)生，中斷Web服務(wù)器到信用卡驗(yàn)證服務(wù)器的連接，檢測(cè)系統(tǒng)是否能夠正確處理這些錯(cuò)誤，是否對(duì)信用卡進(jìn)行收費(fèi)。另外，還要測(cè)試系統(tǒng)是否能夠處理外部服務(wù)器返回的所有可能的消息。

3）壓力測(cè)試

壓力測(cè)試是實(shí)際破壞一個(gè)Web應(yīng)用系統(tǒng)，也就是測(cè)試Web應(yīng)用系統(tǒng)會(huì)不會(huì)崩潰，在什么情況下會(huì)崩潰。黑客常常提供錯(cuò)誤的數(shù)據(jù)負(fù)載，直到Web應(yīng)用系統(tǒng)崩潰，接著當(dāng)系統(tǒng)重新啟動(dòng)時(shí)獲得存取權(quán)。壓力測(cè)試的區(qū)域包括表單、登錄和其他信息傳輸頁(yè)面，可以采用ab（Apache 的測(cè)試工具）和OpenSTA（開發(fā)系統(tǒng)測(cè)試架構(gòu)）等相應(yīng)的工具進(jìn)行自動(dòng)化測(cè)試。

3 結(jié)語(yǔ)

目前，黑客攻擊已成為一個(gè)很嚴(yán)重的網(wǎng)絡(luò)問(wèn)題。盡管防火墻和補(bǔ)丁管理已逐漸走向規(guī)范化，各類網(wǎng)絡(luò)安全防護(hù)設(shè)施比以往更完善，但是，對(duì)攻擊應(yīng)用層面的防護(hù)能力卻較弱。目前有75%的黑客襲擊事件都發(fā)生在應(yīng)用程序方面。本文從Web攻擊分析到漏洞防范，進(jìn)行了較詳細(xì)的探討，希望對(duì)從事WEB應(yīng)用程序安全研究的人員或者網(wǎng)絡(luò)管理員有一定的借鑒作用。

[l] 屈曄，張吳．Bugscam 自動(dòng)化靜態(tài)漏洞檢測(cè)的分析．信息安全與通信保密。

[2] 張吳，網(wǎng)絡(luò)與信息安全測(cè)試原型系統(tǒng)的關(guān)鍵技術(shù)研究．電子產(chǎn)品可靠性與環(huán)境試驗(yàn)。

[3] 張吳，屈曄．網(wǎng)絡(luò)信息安全黑客攻擊技術(shù)研究。

[4] 施寅生，鄧世偉,谷天陽(yáng). web服務(wù)安全性測(cè)試技術(shù)研究, 計(jì)算機(jī)工程與科學(xué)。

[5] 殷正國(guó)，針對(duì)SQL 注射攻擊的一種集成防御策略[D].南京： 南京理工大學(xué)。

[6] 徐鑫濤，淺析SQL 注入攻擊.中國(guó)科技信息。

[7] 胡忠望，劉衛(wèi)東.Cookie 應(yīng)用與個(gè)人信息安全研究.計(jì)算機(jī)應(yīng)用與軟件。

[8] NSFOCUS，2007 年5 月之十大安全漏洞.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用。

[9] 孫志崗，李扎,王宇穎.網(wǎng)絡(luò)應(yīng)用軟件健壯性測(cè)試方法研究.計(jì)算機(jī)工程與科學(xué)。

[10] Simson Garfinkel，Gene Spaford，Web安全與電子商務(wù)．何健輝，劉樣亞，馮延暉，譯．北京：中國(guó)電力出版社。

1009-0940(2015)-4-030-04