基于Web的應用軟件安全漏洞測試方法研究.pdf

1、隨著互聯網和電子商務、電子政務的廣泛使用，針對web應用軟件的攻擊快速增長，導致研究者們越來越關注web應用軟件安全性的研究。與普通的應用程序相比，Web應用軟件的運行特點決定了它在安全性上更為脆弱，主要是由于兩個方面的原因所導致。一是由于web應用軟件客戶端運行環(huán)境不可信任，Web應用軟件的客戶端運行在瀏覽者的機器上，其運行環(huán)境數據容易被偽造或修改，同時黑客們很容易精心構造惡意數據進行攻擊。二是由于其運行狀態(tài)是開放的。Http協議是無

2、狀態(tài)的，Web應用軟件的開發(fā)人員需要自己記錄程序運行的狀態(tài)信息，并在客戶端和服務器端進行保存和傳輸。這些信息對終端用戶公開，容易被惡意更改和偽造。此外其客戶端腳本的原代碼對用戶是可見的，容易被修改。其頁面執(zhí)行順序也很容易被打亂和跳過，如果程序處理不當，將導致安全問題的發(fā)生。
　　 當前，對web應用系統(tǒng)的安全性研究主要集中于對web應用軟件的運行環(huán)境例如服務器操作系統(tǒng)、數據庫系統(tǒng)、web服務器軟件的安全評估和分析，以及web系統(tǒng)

3、的入侵容忍技術等等，這些研究都是立足于web應用系統(tǒng)整體運行的層面上進行安全性研究，缺少對web應用軟件自身安全性的深入分析。而當前開展的一些有關web應用軟件自身的安全性的研究，主要關注的是對部分特定的web應用軟件漏洞進行分析和防范，尚未見到對web應用軟件安全性測試理論和技術的全面、系統(tǒng)性研究。因此，研究web應用軟件安全性測試的理論與技術具有重要的理論和實踐意義。
　　 對web應用軟件的各類安全漏洞進行研究并分類是做好

4、安全性測試的基礎，它可以幫助研究者了解web應用軟件安全問題的特點，指導有效生成安全性測試用例，提出科學實用的安全性測試方法。通過研究環(huán)境錯誤與狀態(tài)錯誤引發(fā)web應用軟件安全漏洞的模式，提出了一種用于進行web應用軟件安全漏洞分類的方法，給出了漏洞分類的層次結構，對層次結構中的各類漏洞進行了定義和分析，并提出了基于分類樹的安全漏洞編碼方法。使用該分類方法對來自OWASP的web應用軟件安全漏洞進行了分類，并與使用EAI模型分類的結果做了

5、對比。評估結果表明，該模型具備良好的漏洞分類能力，適用于指導web應用軟件的安全測試和安全防御工作。
　　 環(huán)境錯誤注入是一種有效的軟件安全性測試方法，該方法人為制造錯誤并注入到程序的運行環(huán)境中，觀察程序的反饋并判斷是否存在安全問題。但是，使用傳統(tǒng)的錯誤注入方法進行web應用軟件安全漏洞檢測時，存在較大不足。因為它僅考慮環(huán)境錯誤對軟件安全性的影響，沒有考慮到另一重要方面，即內部運行狀態(tài)錯誤對web應用軟件安全性的影響。在綜合考慮

6、環(huán)境錯誤與狀態(tài)錯誤對安全性影響的基礎上，提出了一種適用于web安全性測試的環(huán)境與狀態(tài)錯誤模型（EAS模型）?；谠撃Ｐ吞岢隽隋e誤注入點判定規(guī)則庫和錯誤構造算子，并提出了應用該模型進行安全性測試的具體方法和步驟。使用該模型對web應用軟件PEGames進行了測試，有效地測試出了該軟件在CVE漏洞庫中已收錄的所有漏洞，并發(fā)現了新的漏洞。實驗表明EAS模型具有良好的漏洞揭示能力，能有效指導web應用軟件安全性測試。
　　 在進行安全性

7、測試時，需要選擇合適的測試用例集，以便在時間和費用有限的情況下，盡可能充分地測試軟件安全漏洞。為了量化評價測試用例集的充分性，提出了一種基于層次分析法的軟件安全性測試充分性評價方法。建立了測試用例集的層次分析結構和兩兩比較矩陣，求出了各類測試用例的重要性權值，定義了測試效果評價函數。使用該評價方法對BBS軟件IPB的實際測試效果進行了評價計算。實驗表明，評價函數計算出的測試充分性評價值與實際測試中發(fā)現的漏洞個數是正相關的，說明該評價方法