張冠陽

摘要：當今社會，互聯(lián)網(wǎng)應(yīng)用已然已經(jīng)普及，而在互聯(lián)網(wǎng)應(yīng)用中，Web應(yīng)用的地位又是不可或缺，說其是互聯(lián)網(wǎng)中的第一大應(yīng)用毫不過分，但根據(jù)我國關(guān)于互聯(lián)網(wǎng)安全監(jiān)測數(shù)據(jù)及其他統(tǒng)計來看，Web應(yīng)用安全存在不少問題，Web安全性問題一直在電腦信息領(lǐng)域?qū)儆陉P(guān)鍵性問題，也是當今領(lǐng)域的熱點問題，關(guān)于Web的發(fā)展，目前在安全應(yīng)用方面的內(nèi)容少之又少，相關(guān)研究工作的開展較為困難，因此本文的著重點是以Web應(yīng)用安全為基礎(chǔ)，展開一系列評測方法的討論，從多個不同方面進行關(guān)于Web安全評測工具的原理介紹及其功能說明，希望可以幫助更多的互聯(lián)網(wǎng)用戶解決棘手問題。

關(guān)鍵詞：應(yīng)用安全：Web：技術(shù)研究

1引言

正如上述所講，互聯(lián)網(wǎng)Web應(yīng)用是個重點問題，不管從統(tǒng)計數(shù)據(jù)來看，還是在網(wǎng)絡(luò)前三應(yīng)用排名位置來看，Web應(yīng)用都以占比68%的TCP流量遙遙領(lǐng)先，但是同時我們也都了解，Web的本質(zhì)特點是帶有開放性因素，也具備基本用戶自行操作特點，筆者通過一定調(diào)查發(fā)現(xiàn)，Web應(yīng)用安全問題有90%以上的用戶都面臨過，其一時系統(tǒng)本身的漏洞問題，其二是75%以上還面臨被惡意攻擊的局面。此種形式還在以較為明顯的趨勢上升，于是本文進行了關(guān)于Web應(yīng)用安全評測方法的研究，也對其常用的評測工具展開了一系列介紹。

2 基于安全性Web評測措施概述

關(guān)于早期的Web應(yīng)用，主要是依靠設(shè)計者自身的水平給予一定的保證，對其進行安全性方面的監(jiān)測也主要以黑箱測試的方式為主，其監(jiān)測原理為，不需要知曉權(quán)健具體情況，只需要模擬一些實際工作環(huán)境即可，是要可以保證在真實環(huán)境下Web應(yīng)用可操作，就算是檢測成功。但正由于系統(tǒng)集合的龐大性，所以只要根據(jù)不同軟件的功能實行針對性操作就算是完成了測試?？偨Y(jié)一下就是黑箱操作可以不用源代碼進行，由于Web應(yīng)用也是隨時代更新進步的，所以現(xiàn)在關(guān)于Web的安全監(jiān)測，方式也越來越多，（1）可以提出更多的安全模式框架，讓設(shè)計人員按照框架進行程序設(shè)置，來保證Web安全性（2）可使用白箱測試方式，在現(xiàn)下已有程序模式的基礎(chǔ)上，檢查是否存在新的漏洞?？偟膩碚f，在源代碼基礎(chǔ)上進行人工分析，可保證程序的正確性。同時也可以在某些疑點上，再進行針對性的研究測試。機器分析也是一種可靠方式，讓其進行漏洞位置的檢查。但是由于白箱操作耗時耗力，比較話費精力，所以當下Web安全性評測主要還是依附于兩種方式，即融合兩種模式一起，將白箱與黑箱進行漏洞類型的全面覆蓋，現(xiàn)在的商用Web應(yīng)用安全評測軟件，就是使用的這一方式。軟件方法采用的是特征字符串法。

從總體情況來看，Web在應(yīng)用方面的漏洞無非就是邏輯與技術(shù)兩種，當下的多數(shù)進行漏洞檢測的機器都只能進行技術(shù)漏洞分析，程序上的邏輯，很難予以理解，所以還是要依靠實際方法來保證程序邏輯上的安全性，這些內(nèi)容都是需要設(shè)計師來完成的。

在日益更新的今天，Web安全監(jiān)測方法越來越多，進步點有（1）白箱操作越來越多，這正是他因為大家已經(jīng)意識到黑箱的不足，白箱檢測的準確性已然是優(yōu)勢。（2）由于環(huán)境發(fā)展也在改變?yōu)榉植际剑栽诖笠?guī)模應(yīng)用Web情況下，用單一工作站方式來完成項目已然不太可能，所以必須進行計算機能力提升，把協(xié)同檢測手段快速的發(fā)展起來（3）現(xiàn)在這種程序員參與檢測的方式是非常精準，但從效率上說，將人工智能大批引入到程序的分析工作中來，不管是時間成本，還是高效率，都是結(jié)果提升的表現(xiàn)。當下主要問題就在于設(shè)計模式的匱乏，所以必須要借助于大量的人工勞力進行模式設(shè)計，并且要更多的去發(fā)現(xiàn)Web安全性攻擊模式，這當然也是非常繁瑣費力的事情。所以筆者認為，隨著監(jiān)測方式的完善，加之不斷提升的工作站水平，用計算機來完成這項工作應(yīng)該不是難題，完全可以考慮黑白箱合作操作，加以人工輔助，制作出一整套完善的Web應(yīng)用安全測試，這套流程大致可分以下幾點內(nèi)容（1）把源代碼填入黑箱，分析出更多錯誤信息，讓安全性錯誤漏洞暴露出更多的類型和位置（2）人工分析黑箱信息，這樣可以更好的應(yīng)用于對白箱操作的指導(dǎo)工作，以便日后更多的分析出其他漏洞的具體信息（3）這些漏洞信息都可加以利用，使其變成典型案例，或者完成類測樣本的自動生成工作。見圖1。

3 其他Web評測工具的概述

因技術(shù)因素和時長因素的限制性，雖然目前市面上有很多關(guān)于Web安全性評測的軟件，但都沒有一個固定規(guī)范來系統(tǒng)化這套流程，想要切切實實進行Web應(yīng)用方面的技術(shù)規(guī)范，需要思索更多的步驟，例如（1）認真進行Web站點內(nèi)容的整體設(shè)計審查，找出更多不同腳本漏洞（2）分析源代碼，找出站點不完善部分，如緩沖區(qū)溢出、SQL注入等內(nèi)容（3）評估Web網(wǎng)站部署，用模擬攻擊的方式對站內(nèi)用戶進行安全弱點的入侵，查看是否有信息泄露，或者出現(xiàn)類似于認證不充分這類內(nèi)容。

Nikto也是一款非常有名且使用率高的安全掃描工具，其利用4個基本模塊內(nèi)容組成了插件式結(jié)構(gòu)，它們對于Web檢測也具有核心引擎、插件掃描、規(guī)則庫、底層通信模塊等檢測功能，具有可靠性。同時在Nikto這款軟件中，主要的任務(wù)也都是插件來完成的，例如，在目前市面上的Nikto2.0的軟件版本中，代理服務(wù)器的設(shè)置，對數(shù)據(jù)庫等庫內(nèi)數(shù)據(jù)的分析解讀，對一些配置好的文件內(nèi)容展開一系列的執(zhí)行任務(wù)，以及一些端口的快速掃描等，這些都屬于Nikto的核心功能內(nèi)容范疇。

規(guī)則庫通常采用的格式為CSV，用此格式來進行電腦及軟件文本文件的保存，Nikto2.0的規(guī)則庫也隨著信息的更新?lián)Q代，從最初僅有的五個增加到后來的八個，用戶甚至可在規(guī)則庫的規(guī)模上進行調(diào)整到自定義狀態(tài)，也可隨意進行原有規(guī)則庫的插入。規(guī)則庫還可以與掃描插件一起進行更新，一旦電腦中有發(fā)現(xiàn)新的漏洞，或者有帶有新規(guī)則自定義的規(guī)則庫產(chǎn)生，用戶都可將其提交到Nikto站上，與站內(nèi)其他使用者展開用戶體驗交流。

4 結(jié)語

高速發(fā)展的今日，信息技術(shù)越發(fā)更新?lián)Q代，對其各項程序軟件的安全性檢測，也一直是使用者們深思熟慮的問題，希望可以在今后得到妥善解決。

參考文獻

[1]張敏，林盛.大學生對即時通訊軟件使用行為的影響因素研究[J].上海管理科學，2016，38（4）：66?70.

[2]莫足琴.移動網(wǎng)絡(luò)下高可靠即時通信系統(tǒng)的研究與應(yīng)用[J].現(xiàn)代電子技術(shù)，2016，39（13）：23?26.

[3]謝佳華，劉軍.無線網(wǎng)絡(luò)通信覆蓋優(yōu)化仿真研究[J].計算機仿真，2015，32（6）：271?275.

[4]郭庭躍，楊德仕.基于 P2P 網(wǎng)絡(luò)模型的即時通信軟件的研究與設(shè)計[J].中原工學院學報，2016，27（1）：92?95.