Web應(yīng)用系統(tǒng)的安全性測試技術(shù)探討_第1頁
Web應(yīng)用系統(tǒng)的安全性測試技術(shù)探討_第2頁
Web應(yīng)用系統(tǒng)的安全性測試技術(shù)探討_第3頁
Web應(yīng)用系統(tǒng)的安全性測試技術(shù)探討_第4頁
Web應(yīng)用系統(tǒng)的安全性測試技術(shù)探討_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、Web 應(yīng)用系統(tǒng)的安全性測試技術(shù)探討摘 要 現(xiàn)階段,Web服務(wù)已經(jīng)開始成為國內(nèi)大多數(shù)政府部門或者企業(yè)單位開發(fā)系統(tǒng)的基本方式。 Web 應(yīng)用系統(tǒng)包含很多業(yè)務(wù),如果安全問題出現(xiàn)漏洞,其后果不堪設(shè)想,為此 Web 應(yīng)用系統(tǒng)的安全問題也逐漸成為了限制 Web 服務(wù)發(fā)展的主要因素。 現(xiàn)階段針對Web 應(yīng)用系統(tǒng)進(jìn)行的安全性研究還處在對 Web 服務(wù)安全實現(xiàn)的階段, Web 應(yīng)用系統(tǒng)安全性測試技術(shù)發(fā)展相對緩慢。隨著時代的發(fā)展,越來越多的研究人員開始重視Web 應(yīng)用系統(tǒng)及其服務(wù)的安全性問題, 很多測試工具和方法被開發(fā)出來。 本文正是基于此, 首先對 Web 應(yīng)用系統(tǒng)的組成結(jié)構(gòu)進(jìn)行了簡要分析,并結(jié)合筆者實際研究

2、,提出了幾點 Web 應(yīng)用系統(tǒng)的安全性測試技術(shù)。【關(guān)鍵詞】 web 應(yīng)用系統(tǒng) 安全測試技術(shù)分析探討1 Web 的組成Web 屬于一個完整的應(yīng)用系統(tǒng),它的結(jié)構(gòu)相當(dāng)復(fù)雜,而恰恰因為 Web 應(yīng)用系統(tǒng)中復(fù)雜的結(jié)構(gòu), 才能夠為用戶提供更多的交互服務(wù), 從而使 Web 應(yīng)用系統(tǒng)中的所有活動都能夠和后臺數(shù)據(jù)庫相對接。 正常的情況之下, 一個完整的 Web 應(yīng)用系統(tǒng)主要包括了下面幾個核心組件:用戶接口代碼: 它屬于 Web 應(yīng)用系統(tǒng)中的表示層, 用戶接口代碼也是把客戶端和 Web 服務(wù)進(jìn)行連接的接口之一,正是用戶接口代碼提供了站點可視界面。它的編寫方式一般來說有Java、 JavaScript、 VB 、

3、HTML 和 ActiveX 。Web、應(yīng)用服務(wù)器軟件:Web應(yīng)用服務(wù)器軟件是保證用戶瀏覽器和Web 應(yīng)用可以實現(xiàn)正常通信的重要組件。它的任務(wù)一般是處理HTTP 消息請求或者管理組用戶會話。現(xiàn)階段我們使用的Web 站點一般來說是使用第三方提供的服務(wù)器,例如IIS、Apache等。前端系統(tǒng):它的作用一般是和用戶接口代碼以及后臺系統(tǒng)直接交互,當(dāng)用戶接口代碼把客戶端所提供的信息進(jìn)行傳輸之后,前端系統(tǒng)可以即時的對其進(jìn)行處理。典型的前端系統(tǒng)一般有CGI、ASP和JSP等。后臺系統(tǒng): 后臺系統(tǒng)是Web 應(yīng)用系統(tǒng)的驅(qū)動, 它一般提供給直接與數(shù)據(jù)庫對接的功能,從而進(jìn)行商務(wù)邏輯處理,在 Web 應(yīng)用系統(tǒng)中,后臺

4、系統(tǒng)通常都是客戶定制開發(fā)的。數(shù)據(jù)庫系統(tǒng):通常來說指的是第三方數(shù)據(jù)庫軟件,例如說 My SQL 以及 DB2 等。組成結(jié)構(gòu)如此復(fù)雜的 Web 應(yīng)用系統(tǒng), 其安全保護(hù)機(jī)制也應(yīng)該是非常全面的。因為構(gòu)成它的各個組件都可能會產(chǎn)生一定的風(fēng)險,所以我們應(yīng)該對其中的各個環(huán)節(jié)都進(jìn)行安全性檢測和控制。例如說用戶接口代碼中對部分?jǐn)?shù)據(jù)進(jìn)行首次過濾,同時在前端系統(tǒng)和后臺系統(tǒng)中進(jìn)行校驗。但我們也必須要了解, Web 應(yīng)用系統(tǒng)內(nèi)部雖然已經(jīng)存在一定的安全防護(hù)機(jī) 制,但依舊會出現(xiàn)很多的安全漏洞。2 Web 應(yīng)用系統(tǒng)的安全性測試技術(shù)分析2.1 Web 服務(wù)安全性測試框架Web 應(yīng)用系統(tǒng)安全性測試框架一般來說有五個環(huán)節(jié),從威脅的建

5、模到報告,各個環(huán)節(jié)形成的文檔記錄通常有威脅剖面、測試需求說明、測試策略和計劃、測試結(jié)果與報告。第一個環(huán)節(jié)的作用一般是對安全目標(biāo)的確定和對威脅漏洞的確定;第二個環(huán)節(jié)測試通常是根據(jù)軟件的需求和威脅剖面對測試對象與測試內(nèi)容進(jìn)行確定以及資源分配;第三個環(huán)節(jié)中的測試策略文檔記錄是對應(yīng)用系統(tǒng)中程序總統(tǒng)構(gòu)架、資源需求和缺陷跟蹤變更的控制策略;第四個環(huán)節(jié)是對測試環(huán)境、安全測試需求、人員進(jìn)度安排等情況的描述;第五個環(huán)節(jié)是在測試執(zhí)行與報告環(huán)節(jié)的主要作用下,對測試結(jié)果進(jìn)行記錄、創(chuàng)建出測試報告等。2.2 體系安全性測試技術(shù)對 Web 應(yīng)用系統(tǒng)體系結(jié)構(gòu)進(jìn)行安全測試能夠幫助我們找到許多漏洞,進(jìn)而全面提升Web 應(yīng)用系統(tǒng)的

6、安全性。在Web應(yīng)用系統(tǒng)的設(shè)計過程中開展針對安全漏洞的檢測以及修復(fù)能夠幫助我們處理很多后期容易產(chǎn)生的安全問題,同時也可以讓安全測試具有更好的經(jīng)濟(jì)性。在開發(fā)過程中對目標(biāo)部署環(huán)境相關(guān)的設(shè)計進(jìn)行充分考慮, 從而確保 Web 應(yīng)用系統(tǒng)的設(shè)計更具有安全性。這種類似白盒子的測試手段主要是針對處在開發(fā)環(huán)節(jié)的目標(biāo)網(wǎng)站展開的源代碼級別的安全性檢測,這種安全性測試方式通常都應(yīng)該經(jīng)過非常熟悉Web 應(yīng)用系統(tǒng)安全性的編碼專家以及程序員對其中的所有源代碼進(jìn)行校對糾錯。 一般來說對Web 應(yīng)用系統(tǒng)進(jìn)行安全性測試都是從部署基礎(chǔ)結(jié)構(gòu)、配置管理、會話管理、加密參數(shù)操作以及審核等開始著手的。2.3 應(yīng)用和傳輸安全測試技術(shù)面對一個

7、已經(jīng)設(shè)計完成的 Web 應(yīng)用系統(tǒng), 我們可以對其進(jìn)行安全性測試來對Web 系統(tǒng)中發(fā)現(xiàn)的安全漏洞進(jìn)行修復(fù),同時對未來的設(shè)計工作進(jìn)行完善。 “黑箱子”這種測試方法通常指的是針對已經(jīng)能夠正常運行的目標(biāo)系統(tǒng),選擇一些對Web應(yīng)用系統(tǒng)正常運行不會造成影響的手段來遠(yuǎn)程開展安全技術(shù)測試,運用模擬黑客入侵等手段對目標(biāo)系統(tǒng)在被攻擊狀態(tài)下的安全運行情況進(jìn)行檢測。 對于 Web 應(yīng)用系統(tǒng)的安全性測試一般可以從應(yīng)用級與傳輸級兩方面著手。應(yīng)用級安全測試技術(shù)即是利用 Web 應(yīng)用系統(tǒng)內(nèi)部的自我檢測程序, 從而找到 Web 系統(tǒng)自身設(shè)計中存在的漏洞, 應(yīng)用級測試一般來說主要有對目錄設(shè)置、注冊登陸、在線操作、備份恢復(fù)等內(nèi)容的

8、安全測試; 傳輸級安全測試一般來說是基于 Web 應(yīng)用系統(tǒng)傳輸特性,其安全測試目標(biāo)一般是找出數(shù)據(jù)信息從客戶端到服務(wù)器這一傳輸過程中存在的漏洞,從而增強(qiáng)服務(wù)器拒絕非法訪問的能力,傳輸級安全測試一般來說有 SSL 、數(shù)據(jù)加密、服務(wù)器腳本漏洞檢測等。3 結(jié)語總之, 隨著基于 Web 服務(wù)為基礎(chǔ)的應(yīng)用系統(tǒng)被廣泛的應(yīng)用于社會各個行業(yè)各個方面, Web 應(yīng)用系統(tǒng)的安全問題也開始凸顯出來, 對 Web 應(yīng)用系統(tǒng)開展安全性測試能夠在很大程度上保證 Web 服務(wù)的安全性。 但是現(xiàn)階段就我國對其的研究現(xiàn)狀而言, 國內(nèi)的 Web 應(yīng)用系統(tǒng)安全性測試技術(shù)還處在初級階段,很多工具僅僅能夠進(jìn)行一些基礎(chǔ)性的安全測試。但是我們相信隨著科學(xué)技術(shù)的發(fā)展以及Web 安全標(biāo)準(zhǔn)的逐漸完善,針對 Web 應(yīng)用系統(tǒng)的安全性測試技術(shù)也會逐漸成熟,Web 安全測試技術(shù)和相關(guān)測試方法必然會得到進(jìn)一步的發(fā)展。參考文

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論