基于SOAP消息變異的Web服務脆弱性測試方法研究.pdf

1、Web服務互聯(lián)互通的特點是Web服務集成和應用的基礎,它支持開放、動態(tài)的互操作模式,可以大大降低系統(tǒng)集成的開銷和復雜性,因此獲得了學術界的高度重視和產(chǎn)業(yè)界的大力支持。Web服務以XML(Extensible Markup Language)、SOAP(Simpie Object Access Protocol)、WSDL(Web Services Description Language)和UDDI(Universal Descript

2、ion Discovery and Integration)為核心;以WSDL語言定義消息的格式和內容;以SOAP協(xié)議進行消息通信,具有良好的封裝性和集成性。由于Web服務通常包含了應用系統(tǒng)的關鍵業(yè)務,若其安全性出現(xiàn)問題就有可能帶來巨大的損失和嚴重的后果,故很多學者紛紛轉向對Web服務測試的研究來保證其安全性。
　　 Web服務的脆弱性本質是指Web服務中存在的安全漏洞,利用它可以危害Web服務的安全策略,導致信息的出錯或丟失。

3、目前針對其測試的研究還不多見,主要集中在Web服務的功能和可靠性研究方面,還有針對Web服務進行數(shù)值擾動和數(shù)據(jù)通信擾動的測試方法研究。本文在此基礎上研究了Web服務測試基礎,提出了基于SOAP消息變異的脆弱性測試方法,并設計實現(xiàn)了一個Web服務脆弱性測試原型系統(tǒng)。主要工作闡述如下:
　　 1.調研了Web服務測試的基礎知識。隨著Web服務的廣泛使用,對其安全性測試的研究受到廣泛的重視,介紹了Web服務的基本知識,包括Web服務的

4、體系結構、堆棧、SOAP協(xié)議、WSDL協(xié)議和UDDI規(guī)范;然后調研了組件安全性測試技術和Web服務測試的主要方法。
　　 2.根據(jù)SOAP消息參數(shù)的類型,提出了兩種基于SOAP消息變異的Web服務脆弱性測試方法,分別是最壞差異輸入變異方法(The Worst-input Mutation Approach)和雜亂數(shù)據(jù)變異方法(FHZZ Data-input Mutation Approach)。最后將這兩種方法融合在一起開發(fā)實現(xiàn)

5、了一個Web服務脆弱性測試工具WSVTT(Web Service Vulnerability Testing Tool)來測試Web服務的脆弱性。相應地,提出了兩種測試用例生成算法,分別是最遠鄰測試用例生成算法TCFN(Test Cases generationbased on Farthest Neighbor)和雜亂數(shù)據(jù)輸入變異算法FDMA(Fuzz Data-input Mutation Algorithm)。其中,TCFN算法主

6、要針對參數(shù)類型為連續(xù)型的情況;FDMA算法主要針對參數(shù)類型為離散型的情況。然后,將算法產(chǎn)生的測試用例作用于SOAP請求消息,從客戶端觀察應答消息,來分析Web服務的脆弱性;最后通過WSVTT工具進行試驗,表明提出的基于SOAP消息變異的方法可以更有效的發(fā)現(xiàn)Web服務的脆弱性。
　　 3.設計實現(xiàn)了一個Web服務脆弱性測試原型系統(tǒng)WSVTS(Web Service Vulnerability Testing System),主要有