Web服務安全性測試技術問題研究

于穎

摘要：Web服務組合安全性檢測對提高Web服務的安全性具有重要意義。針對Web應用安全存在的主要8種漏洞，在建立測試框架的基礎上，提出安全檢測關鍵技術的實現(xiàn)方法，為提高Web服務安全性提供技術參考。

關鍵詞：安全性測試；Web服務；漏洞；測試框

中圖分類號： TP393 文獻標識碼：A 文章編號：1674-1161（2016）03-0036-03

1969年互聯(lián)網(wǎng)在美國誕生，1994年我國與國際互聯(lián)網(wǎng)成功連接，標志著我國互聯(lián)網(wǎng)步入新時代。經(jīng)過20多年的發(fā)展，我國的互聯(lián)網(wǎng)實現(xiàn)了從無到有，并且規(guī)模越來越大，現(xiàn)已經(jīng)成為世界第二大網(wǎng)絡大國。據(jù)《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》（中國互聯(lián)網(wǎng)絡信息中心2016年1月22日第37次權威發(fā)布）顯示，截至2015年12月，我國網(wǎng)民規(guī)模達6.88億，互聯(lián)網(wǎng)普及率達50.3%，半數(shù)中國人已接入互聯(lián)網(wǎng)。伴隨著互聯(lián)網(wǎng)的快速發(fā)展，以社交網(wǎng)絡、電子商務等為代表的Web服務正在深刻地改變著人們的生活方式，甚至影響著整個社會發(fā)展進程。

1 Web服務的基本概念及組成

Web服務作為一種遠程訪問的標準，具有松散耦合、平臺無關、交互性、語言中立等優(yōu)點，通常作為分布式應用實現(xiàn)的技術基礎。Web應用系統(tǒng)組成十分復雜，正因為其復雜組件和彼此間復雜的關系，所以才能為用戶提供強大服務。Web應用系統(tǒng)核心組件包括用戶接口代碼、前端系統(tǒng)、服務器軟件、后臺系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等。

2 Web服務安全性測試的重要意義

Web應用當前已經(jīng)成為軟件開發(fā)的重要組成部分。由于開發(fā)人員技術水平有限或者安全意識比較薄弱，每一個Web系統(tǒng)自身都存在著一定的安全漏洞，并在使用過程中逐漸暴露出來，入侵者就可能利用漏洞到Web應用上進行惡意攻擊。Web系統(tǒng)中有大量信息，其中許多信息涉及個人隱私或是企業(yè)關鍵性業(yè)務等，一旦Web服務安全性出了問題，可能會給個人或企業(yè)造成重大損失和帶來嚴重后果。雖然當前入侵檢測、防火墻等技術已經(jīng)相對成熟，可以為Web系統(tǒng)提供一定的安全防護，但是對Web應用的惡性攻擊大多來自于應用層，完全解決各種安全性問題的難度非常大。在此情況下，Web服務安全性測試具有重大現(xiàn)實意義。

3 Web應用安全漏洞

Web應用安全漏洞是指一個Web系統(tǒng)的所有組件在設計、實現(xiàn)或者操作和管理中存在的可能被入侵者利用的缺陷和弱點。常見的Web應用安全漏洞主要有以下8個類別。

3.1 未被驗證的輸入

入侵者通過篡改HTTP請求越過站點安全機制，主要包括緩沖區(qū)溢出、跨站點腳本、SQL注入、格式化字符串攻擊等輸入篡改攻擊方式。HTTP請求主要包括查詢字符串、Cookie、HTTP頭部、URL、表單等。

3.2 SQL注入

SQL注入是最普遍、最嚴重的Web應用安全漏洞。入侵者通過在輸入域中插入某些特殊字符，完全改變SQL查詢的自身功能，欺騙數(shù)據(jù)庫服務器進行非法操作，從而達到破壞數(shù)據(jù)庫或非法獲取數(shù)據(jù)清單的目的。

3.3 跨站點腳本

入侵者在Web瀏覽器客戶端通過頁面提交的輸入數(shù)據(jù)嵌入惡意代碼，如果服務器不經(jīng)過濾或轉義直接將這些數(shù)據(jù)返回，那么這些惡意代碼在其他用戶訪問該Web頁面時將被執(zhí)行，從而實現(xiàn)其惡意攻擊的目的。

3.4 緩沖區(qū)溢出

入侵者利用緩沖區(qū)溢出漏洞向Web應用發(fā)送特定請求，使目標Web應用執(zhí)行其設定的代碼。

3.5 隱藏的字段

在正常操作中，用戶可以執(zhí)行Web瀏覽器中的“查看源文件”，并查看字段內容，通過手工修改參數(shù)值，再傳回給服務器端。入侵者通過對HTML源文件中的這些隱藏字段進行修改實現(xiàn)惡意目的。

3.6 不恰當?shù)漠惓Ｌ幚?/p>

用戶向Web應用提交正常請求時，可能頻繁產生內存不足、系統(tǒng)調用失敗、數(shù)據(jù)庫鏈接錯誤等異常情況。如果不能進行恰當處理，堆棧追蹤、數(shù)據(jù)庫結構、錯誤代碼等內部錯誤信息很可能被入侵者獲知，帶來一定的安全隱患。

3.7 遠程命令執(zhí)行

用戶提供的輸入數(shù)據(jù)在沒有經(jīng)過適當驗證情況下，就可以通過Web服務器進行傳遞。入侵者可能利用這個漏洞，使目標Web應用執(zhí)行他的命令。

3.8 遠程代碼注入

這一安全漏洞通常是由Web應用開發(fā)者存在不良編碼習慣引起的，如允許沒有經(jīng)過驗證的用戶輸入，造成本地應用或遠程的PHP代碼被包含進來。這一漏洞被入侵者利用，實現(xiàn)其向目標Web應用中注入其他PHP代碼的目的。

4 Web服務安全性測試技術

為保障Web服務安全，消除潛在的漏洞隱患，一方面Web服務要在用戶的身份標識和驗證級別上集成Web站點安全；另一方面要在服務器與用戶進行信息交換的過程增加安全防范措施。目前，通常在身份驗證/授權、傳輸層安全、應用層安全3個領域采取安全措施。

4.1 測試框架

Web應用安全性測試框架主要包括威脅建模、測試需求、測試策劃、測試執(zhí)行、報告5個不同階段，具體情況如圖1所示。

第一階段是威脅建模，主要是有效確定安全目標，對漏洞隱患進行確定和評級。第二階段是測試需求，準確確定測試對象并合理進行資源分配，主要依據(jù)軟件具體需求和威脅剖面素。第三階段是測試策劃，主要是測試策略文檔，通過提供控制策略，有效控制系統(tǒng)程序總體架構、資源需求和缺陷，準確描述測試環(huán)境等一系列情況。第四階段是測試執(zhí)行，及時準確的記錄測試的結果。第五階段是報告，對最終測試結果進行詳細地說明和報告。

4.2 安全性測試技術

在Web應用系統(tǒng)開發(fā)的整個過程中，對整個體系結構的每一個環(huán)節(jié)都進行必要的安全性測試，就會發(fā)現(xiàn)其存在的安全漏洞隱患，從而有效提高整個Web應用系統(tǒng)的綜合安全性能。在最初的設計環(huán)節(jié)對安全漏洞進行檢測，并及時對漏洞進行修復，可能避免后續(xù)環(huán)節(jié)發(fā)生安全問題。把目標部署環(huán)境所關聯(lián)的設計作為目標對象進行通盤考慮和研究設計，有效提高Web應用系統(tǒng)的安全水平。“白盒子”測試的主要內容是，在Web應用系統(tǒng)開發(fā)過程中，依據(jù)源代碼的不同級別對目標網(wǎng)站進行相應安全測試，及時發(fā)現(xiàn)相關問題并進行有效處理。

4.3 應用及傳輸安全

Web應用系統(tǒng)設計完成后，要通過一系列的安全測試，發(fā)現(xiàn)系統(tǒng)中存在的漏洞隱患，并有效進行修復。“黑箱子”測試的主要內容是，當Web應用系統(tǒng)已經(jīng)投入使用后，在不影響其正常運行的條件下，積極應用遠程方式進行安全測試，模擬黑客攻擊目標系統(tǒng)，最大限度對Web應用系統(tǒng)安全性進行有效測試。

在測試過程中，通常選取應用級和傳輸級2個等級層面進行測試。應用級安全性測試是通過系統(tǒng)自帶程序對目錄設置、注冊及登錄、在線超時、操作留痕、備份及恢復進行檢查測試，有效排除程序設計方面存在的安全漏洞隱患。傳輸級安全性測試是以系統(tǒng)傳輸特性為基礎，通過對包括SSL、數(shù)據(jù)加密、防火墻、服務器腳本漏洞在內的從用戶端到服務器整個數(shù)據(jù)信息傳輸過程進行檢查測試，進一步增強系統(tǒng)拒絕非法訪問的能力。

參考文獻

[1] 唐修平.Web服務安全性研究及應用[J].湖南工業(yè)職業(yè)技術學院學報，2011（5）：5-7.

[2] 張再華.基于.NET平臺Web服務安全性的研究與實現(xiàn)[J].電腦知識與技術：學術交流，2012（2X）：1292-1293.

[3] 邢翠芳，李瑛，趙海冰，等.一種移動Web服務安全性技術方案[J].計算機技術與發(fā)展，2013（4）：122-125.

[4] 周潔，任江春，王志英，等.一種基于Petri網(wǎng)的Web服務組合安全性動態(tài)檢測技術[J].計算機工程與科學，2014（2）：250-257.