（系统分析与集成专业论文）web应用安全研究.pdf

摘要 摘要 w e b 的开放性、易用性和w e b 应用的易于开发性使w 曲应用的安全问题日益突出 科学、高效、准确地测试评估w e b 应用的安全性是十分必要的，也是所有w e b 应用系统所 面临的重要课题，对w e b 应用安全测试扫描技术展开全面的研究具有重要的理论意义和实 用价值。 本文对w e b 应用程序漏洞特征和w e b 应用安全扫描关键技术进行了较全面的研究，提 出了一种基于主机的w e b 应用安全扫描系统模型。在研究了c v e 和a v d l 对漏洞描述技 术的基础上，设计了一种基于x m l 的w e b 应用安全漏洞模型w a m l ，讨论了该模型的 具体描述内容。通过了解和分析现有漏洞扫描器的结构和功能，设计并实现了w e b 应用安 全扫描系统结构和主要功能模块。结合系统要求，研究了每个模块所需的相关实现技术， 如遍历模块中能够的网站拓扑结构获取技术；分析阶段的w e b 网页文件内容的信息提取技 术和h t m l 代码解析技术；完成攻击测试所需的h t t p 协议工作模型和x m l 文件解析技 术以及基于s 日志的安全审计技术等，为安全漏洞分析检测工作莫定了基础。通过对开 源软件包i - i i m lp a r s e r ，h t t p c l i e m 和标准开发包s u nj d k l 6 进行二次开发，设计并实现 了i - r r m l 标签解析器、模拟h t t p 客户端行为和x m l 文件编辑解析器，为w e b 应用程序 漏洞特征库信息采集、库内容和功能扩展、漏洞规则优化和客户端与服务器端的交互提供 了怠好的操作接口。初步实现了w e b 应用安全扫描原型系统，它作为服务器端的应用程序 运行，提供信息扫描与分析服务。该系统根据用户需求扫描探测多种w e b 应用程序漏洞， 并给出较为完整详细的w e b 应用程序漏洞安全扫描报告，为应用开发者的代码优化、网站 管理员的安全站点管理和安全专家的分析评估提供必要的信息和依据。 关键字：w e b 应用安全，漏洞，基于x m l 的w e b 应用程序漏洞标记语言，w e b 应用 安全扫描系统 a b s t r a c t a b s t r a c t 1 1 扯i s s u e so fw 曲a p p l i c a t i o ns e c u r i t yh a si n c r e a s i n g l yb e c o m eo u t s t a n d i n gf o rt h e p a t e n c y 、e a s y - t o - u s eo fw e b s i t ea n dt h es i m p l yd e v e l o p m e n to fw e ba p p l i c a t i o n i ti sq u i t e n e c e s s a r yt ot e s ta n de v a l u a t et h ew 曲a p p l i c a t i o ns e c u r i t yi nas c i e n t i f i c 、e f f i c i e n ta n da c c u r a t e w a y , w h i c hi sak e ys u b j e c ta l lt h ew e b 印p l i c a l i o h a v eb e e nf a c e d t h u s ，t h ec o m p r e h e n s i v e r e s e a r c ho nt e s ta n dd e t e c t i n gt e c h n o l o g i e so fw e ba p p l i c a t i o ns e c u r i t yi so fg r e a tt h e o r e t i c a l m e a n i n ga n dp r a c t i c a lv a l u e am o d e lo f t h eh o s t - b a s e dw 曲a p p l i c a t i o ns e c u r i t yd e t t i n gs y s t e mi sp r o p o s e db a s e do n t h ed e 印r e s e a r c ho nt h ec h a r a c t e r i s t i c so f w e b a p p l i c a t i o nv u l n e r a b i l i t i e sa n d t h ek e yt e c h n o l o g y o fw 曲a p p l i c a t i o ns e c u r i t yd e t e c t i n g a r e rc v ea n da v d lw h i c hd e s c r i b et h em e t h o d st o i l l u s t m t et h ev u l n e r a b i l i t yi si n v e s t i g a t e 正an e wm o d e lo fw 曲a p p l i c a t i o nv u m e m b i l i t i e sb a s e d o t lx m l 一晡a m li sd e s i g n e da n dd i s c u s s e di nd e t a i l t h e 蚰1 l c n ea n dt h em a i nm o d u l e so f t h ew e ba p p l i c a t i o ns e c u r i t yd e t e c t i n gs y s t e mi sd e s i g n e da n di m p l e m e n t e ds c c o r d m gt ot h e s t u d yp r o c e s so nt h es t r u c t u r ea n df u n c t i o n so f t h ep r e s e n tv u l n e r a b i l i t yd e t e c t o r s t h et e c h n o l o g i e sr e l a t e dt ot h ei m p l e m e n to f e a c hm o d u l ea r es t u d i e df o rt h er e q u i r e m e n t s o f t h es y s t e m sf u n c t i o m ，s u c ha sh o wt oo b t a i nt h ew e b s i t e st o p o l o g yi nt h et r a v e r s ep h a s e ，t h e i n f o r m a t i o na b s t r a c t i o n f r o m t h e w e b p a g e s a n d t h e d e s i g no f t h e r n 皿r t a gp a r s e r , t h e w o r k i n g m o d l l l eo fh 1 r pp r o t o c o la n dt h ep a r s i n gm e t h o do f t h ex m lf i l e s , a n dt h es e c u r i t ya c c o u n t i n g t e c h n o l o g yb a s eo nt h ei i sl o gf i l e s e t c a ut h ea c h i e v e m e n t so ft h er e s e a r c hc o n s t r u c tas o l i d f o u n d a t i o nf o rt h ev u l n e r a b i l i t yd e t e c t i o na n da n a l y s i so p e r a t i o n s 1 1 坞h t m lp a r s e r , t h e s i m u l 8 m dh r r pc l i e n ta n dt h ex m l e d i t o r & p a r s e ra r ec o m p l e t e db yt h er e u s ea n dd e v e l o p m e n t o ft h eo p e ns o u r c ep a c k a g e 删，p a r s e r , h t t p c l i e n ta n dt h es t a n d a r dd e v e l o p m e r i tk i t ss u n j d k l 6 w h i c ho t t e rs o m eg o o do p e r a t i n gi n t e r f a c e st ot h ei n f o r m a t i o nc o l l e c t i o r , t h ec o n t e n t e n df u n c t i o ne x t e n s i 帆a n dt h eo p t i m i z a t i o no ft h er u l e si nw e ba p p l i c a t i o nv u l n e r a b i l i t yl i b r a r y a n dt h ei n t e r c o m m u n i c a t i o no f t l ”c l i e n ta n ds e r v e ri nw 曲a p p l i c a t i o n t h ep r o t o t y p eo fw e ba p p l i c a t i o ns e c u r i t yd e i 删o ns y s t e mi sp r e l i m i n a r i l yi m p l e m e n t e d , w h i c hr u n so nt h es e r v e fa sac o m m o na p p l i c a l i o na n ds u p p l yt h ei n f o r m a t i o nd e , ：f c c t i o na n d a n a l y s i ss e r v i c e s b a s e do nt h eu s e r s r e q u i r e m e n t s 。av a r i e t yo fd i f f e r e n tw e ba p p l i c a t i 0 1 1 v u l r m r a b i l i t i e s l 1 ；ea b l et ob ep r o b e d ，a n dac o m p l e t ea n dd e t a i l e ds e c u r i t yr e p o r tw h i c hi l l u s t r a t e s t h en e c e s s a r yi n f o r m a t i o ni sg i v e no u tt oh e l pt h ed e v e l o p e r st oo p t i m i z et h ec o d e s , s h o wt h e w e b s i t ea d m i n i s 订a t o mt h es e c u l em a n a g e m e n tp o l i c ya n dg i v et h ee v i d e n c ef o rt h ea n a l y s i sa n d a s s e s s m e n tt ot h es e c u r i t ye x p e r t s k e y w o r d s ：w e ba p p l i c a t i o ns e c u r i t y ，v u l n e r a b i l i t y ，w a m l ，w e ba p p f i c a t i o ns e c u r i t yd c t e c t i n g s y s t e m n 学位论文独创性声明 本人郑重声明： l 、坚持以。求实、创新”的科学精神从事研究工作 2 、本论文是我个人在导师指导下进行的研究工作和取得的研究 成果 3 、本论文中除引文外，所有实验、数据和有关材料均是真实的 4 、本论文中除引文和致谢的内容外，不包含其他人或其它机构 已经发表或撰写过的研究成果 5 、其他同志对本研究所做的贡献均已在论文中作了声明并表示 了谢意 作者签名：o 二：! 垣 日 期：蜱。? 学位论文使用授权声明 本人完全了解南京信息工程大学有关保留、使用学位论文的规 定，学校有权保留学位论文并向国家主管部门或其指定机构送交论 文的电子版和纸质版；有权将学位论文用于非赢利目的的少量复制 并允许论文进入学校图书馆被查阅；有权将学位论文的内容编入有 关数据库进行检索；有权将学位论文的标题和摘要汇编出版保密 的学位论文在解密后适用本规定 作者签名：。蜀场 日期： 0 ：j = ：! g ： 关于学位论文使用授权的说明 本人完全了解南京信息工程大学有关保留、使用学位论文的规定，即： 学校有权保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文 的全部或部分内容，可以采用影印、缩印或其他复制手段保存论文 ( 保密的论文在解密后应遵守此规定) 作者签名：受鱼垒 e l 期： 2 2 ：哩： 导师签名： 日 期： 第l 章绪论 1 1 研究背景 第1 章绪论 随着i n t e m e t 的普及，人们对网络的依赖性越来越强，但是由于i n t e g e r 的开放性、设 计时对信息的保密和系统的安全性考虑不够完备，造成网络的攻击与破坏事件层出不穷， 对人们的日常生活和经济社会造成了很大的麻烦。而自2 0 0 0 年以来，网络攻击事件也越来 越多地集中到网络应用上。w e b 应用作为i n t e r n e t 上使用最广泛的服务，w e b 站点成为攻 击者攻击的主要对象，w e b 安全问题也成为人们关注的核心问题。 电子政务、电子商务等在线服务在我国得到了越来越广泛的应用，每年应用于各个领 域的w e b 站点数量迅速增加。1 9 9 7 年，经原国务院信息化工作领导小组办公室和中国互联 网信息中心( c n n i c ) 工作委员会研究，决定由c n n i c 联合四个互联网络单位来实施中 国互联网络发展状况的统计报告。从1 9 9 8 年起c n n i c 于每年1 月和7 月推出 中国互联 网络发展状况统计报告，其即时性和权威性已得到业界的公认。而其中有关w e b 站点构 建数量统计的指标则充分表明了w e b 应用的广泛程度和增长趋势。表1 11 9 9 7 2 0 0 7 年w e b 站点数量指标是根据从1 9 9 7 年l o 月以来的统计报告总结的我国w e b 站点( 包 括c n 、c o m 、n e t 、o r g 下的网站) 数量的增长情况。 表1 - 11 9 9 7 - 2 0 0 7 年w e b 站点致量指标+ 统计时阔站点教量( 十)统计时闻站点效量( 十) 1 9 9 7 1 0 1 。5 0 0 1 9 9 8 7 3 7 0 0 注t 资料来潭为中国互联罔络发展状况统计报告 w e b 的开放性，易用性和w e b 应用的易于开发性使w e b 应用的安全问题日益突出， w e b 站点成为攻击者攻击的主要对象，表单篡改、跨站点脚本、命令插入、缓冲区溢出等 各种w e b 安全漏洞不断出现。根据权威网络安全机构的安全威胁报告，w e b 应用正成为最 大的安全盲点。因此w e b 应用安全问题也成为人们关注的网络安全核心问题之一i l r “。 第1 章绪论 1 1 1h t t p 协议模型 w e b 服务是基于客户机，服务器模式的。服务器用于存放w e b 文档，用户通过客户机上 的浏览器进行站点浏览，服务器通过默认的端口与客户机进行连接。在建立连接之后， 客户机与服务器通过h t t p 协议进行请求与应答。图1 - 1w e b 应用工作模型显示了w e b 应 用服务的工作过程。 h t r p 请求； 慝窭 l 浏览器| + 一 h t t p 响应 ；结果 圈1 - 1 w e b 应用工作模型 丌1 p ( h y p e r t e x tt r a n s f e rp r o t o c 0 1 ) 弘”是一个通用的、无状态的、基于对象的超文本 传输协议，通过在h t t p 客户程序和h t t p 服务程序之间建立端对端的连接实现互联网上 超文本文件的传输。 h t t p 是应用级协议，其主要特点有： ( 1 ) h t y p 工作在应用层：基于t c p i p 的连接方式，但是不提供可靠性或重传机制。 ( 2 ) 请求，响应消息对：一旦建立了传输会话，一端( 通常是浏览器) 必须向响应的 另一端发送m 1 p 请求，响应的一端则返回h t t p 消息作为应答内容。 ( 3 ) 无状态性：每个h t t p 请求都是自包含的，服务器不保留以前的请求或会话的历 史记录，大大减轻了服务器记忆负担，从而保持较快的响应速度。 ( 4 ) 面向对象：允许传送任意类型的数据对象，h r r p 通过数据类型和长度来标识所 传送的数据内容和大小，并允许对数据进行压缩传送。 ( 5 ) 双向传输：浏览器请求w e b 页时，服务器把网页副本传输给浏览器，并且 玎1 p 也允许浏览器向服务器传输数据，如用户通过表单提交内容。 ( 6 ) 协商能力：h t r p 允许浏览器和服务器协商一些细节，如在传输中使用的字符集； 发送方和接收方的传输能力；h r r p 消息首部所使用的文档表示和编码等。 ( 7 ) 支持高速缓存：h t t p 允许服务器控制是否能高速缓存页面、如何高速缓存页面 以及页面的生命期，也允许浏览器强制页面请求绕过高速缓存，从拥有该页的服务器上得 到新的副本。 ( 8 ) 支持代理：h t t p 允许在浏览器到服务器之间路径上的机器作为代理服务器，将 w e b 页放入高速缓存并从中响应浏览器的请求。 图1 - 2h r i p 消息的传输模型给出了典型的h t t p 事务处理过程。 2 第1 章绪论 客户端( c )服务器端( s ) f j 升醯 建立连接 发送请求块 发送响应块 关闭连接 圈1 - 2i i t i p 清息的传警模型 当用户在h t m l 文档中定义了一个超文本链接后，浏览器将通过t c p i p 协议与指定 的服务器建立连接。客户在一个特定的t c p 端口( 默认为8 0 ) 上打开一个套接字，如果服 务器一直在这个端口上监听连接，则该连接便会建立起来。然后客户通过该连接发送一个 包含请求方法的请求块。服务器将根据客户请求完成相应操作，并以响应块的形式返回给 客户，最后关闭连接。 1 1 2w e b 安全阔题 w e b 安全p 是一个系统问题，包括w e b 服务器安全、w e b 应用服务器安全、w e b 应用 程序安全、数据传输安全和应用客户端安全。然而，网络的规模和复杂性使w e b 安全问题 比通常意义上的h , l t e m e t 的安全问题更为复杂。 目前的w e b 安全主要分为以下三个方面l ，o j ： 1 保护w e b 服务器及其数据的安全 必须保证服务器能够持续运行，保证只有经过授权才能修改服务器上的信息，保证能 够把数据发送给指定的接收者。 2 保护w e b 服务器和用户之间传递的信息的安全 必须确保用户提供给w e b 服务器的信息( 用户名、密码、财务信息、访问的网页名称 等) 不被第三方所阅读、修改和破坏。对从w e b 服务器端发送给用户的信息要加以同样的 保护。用户与服务器之间的链路也要进行保护，使得攻击者不能轻易地破坏该链路。 3 保护w e b 应用客户端及其环境安全 用户需要使用w e b 浏览器和安全计算平台上的软件，必须保证这种平台不会被病毒感 染或被恶意程序破坏。用户还需要保护自己的隐私和私人信息，确保它们无论是在自己的 计算机上还是通过在线服务时都不会遭到破坏。 3 第l 章绪论 1 1 3w e b 应用安全 根据美国c e r t c c 统计( w w w c c r t o r g ) 统计，自1 9 9 5 年以来漏洞累计达到2 4 3 1 3 个， 2 0 0 6 年第一季度共报告漏洞1 5 9 7 个，平均每天超过1 7 个，超过去年同期2 个。国家计算 机网络应急技术处理协调中心( 简称c n c e r t c c ) 2 0 0 5 年共整理发布漏洞公告7 5 个，2 0 0 6 年上半年共整理发布漏洞公告3 4 个。从统计情况来看，2 0 0 6 年上半年漏洞报告数量仍处 较高水平，存在大量的漏洞使得网络安全总体形势仍然严峻。图1 - 32 0 0 0 - 2 0 0 6 美国 c e r l 佗c 漏洞数量统计图给出了2 0 0 0 年以来c e 亿c 统计的已公布漏洞数量情况。 2 0 0 0 - 2 0 0 6 美国c e r t c c 漏洞数量统计图 n ” 。 。 5 9 9 0 8 0 0 0 橱5 0 0 0 4 t 2 9 霪4 0 0 0 一 7 r d 7 r n 塞3 0 0 0 。z 4 3 y 嬉 。厂1 2 0 0 0 1 0 9 0 f - 1 0 0 0 t _u v 2 0 0 02 0 0 l2 0 0 22 0 0 32 0 0 42 0 0 52 0 0 6q 1 注：资辩来源为c n c e r t c c 2 0 0 6 年上半年阿络安全工作报告 圈1 - 32 0 0 0 - 2 0 0 6 美目c e r t c c 嚣嗣教量缝计圈 美国c e r t c c 针对历年出现的所有漏洞类型进行了统计，包括网络、系统、应用等方 面，但并没有针对w e b 应用漏洞进行统计和分析。为了进一步了解近年来w e b 应用漏洞的 出现情况，需要参阅一些权威安全网站或安全公司的统计数据。中国计算机安全网2 0 0 5 年 1 0 月的报告( 2 0 0 5 年中国信息安全回顾与展望指出：互联网安全威胁正在日益加剧，安 全漏洞数量居高不下，2 0 0 4 年公布安全漏洞3 7 8 0 个，平均每天超过1 0 个。在2 0 0 6 年3 月7 日赛门铁克公司( s y m a n t e cc o r p o r a t i o n ) 发表的第九期互联网安全威胁报告 ( i n t e r n c t s e c u r i t yt h r e a tr e p o r t ) ”j 牛【指出，在前几期报告中，w e b 应用漏洞有了大幅的增长，2 0 0 4 年上半年有4 7 9 个与w e b 应用有关的漏洞被公布，占总数的3 9 ，2 0 0 5 年4 月统计表明现 有系统漏洞以w e b 应用程序的漏洞新增比例最高，约占所有漏洞数量的4 9 ，仅在2 0 0 5 年七月至1 2 月间，6 9 的漏洞与w e b 应用程序相关，比2 0 0 5 年上半年又提升1 5 。图l - 4 2 0 0 1 - 2 0 0 5 年s y m e n t e c 漏洞数量统计图以半年为界统计了2 0 0 1 年以来发布的漏洞数量情 4 第l 章绪论 况。 2 0 0 1 - 2 0 0 5 年s y m a n t e c 漏洞数量统计图 11r a r 倒1 5 0 0 1 4 9 3 1 d 1 r 2 8 】 i 2 7 ： 螽一 】1 8 _ 一 一 蔷1 0 0 0 丽百 i 辱 f h ，l ；蠼5 0 0 r，” 注，瓷辩来潭为赛门铁克公司第九明互联爵安全戚胁报告 ( 2 0 0 5 年7 月至1 2 月) 圈1 - 42 1 - 2 5 年s y m n t mc o r p o r a t i o n 曩洞数量统计圈。 随着在线信息和服务的可用性的提升，以及基于w e b 的攻击和破坏的增长，安全风险 达到了前所未有的高度。众多安全工作集中在网络本身，而忽视了w e b 应用程序。应用程 序过去通常是在一台计算机上运行的独立程序，计算机安全就保证了应用程序的安全。但 w e b 应用程序在多种不同的机器上运行，包括客户端、w e b 服务器、数据库服务器和应用 服务器，那么应用程序的安全性就会受到服务器的操作平台安全性、服务软件的安全性以 及客户机与服务器间通行协议的安全性的影响州。 w e b 应用中客户端与服务器端的通信是建立在不安全的、无状态的h t t p 协议之上的， 运行在一个周知的t c p 端口上。虽然它也可以在任何其他的端口上实现，但是几乎所有的 w e b 浏览器都首先自动地尝试连接到t c p 的8 0 端口上，并且每个w e b 服务器都监听这一 端1 3 。当将防火墙和其他网络安全设备配置成允许通过t c p8 0 端口提供一项或多项服务 时，这些设备对于w e b 应用攻击来说是毫无抵抗力的“。 由于w e b 应用系统设计的最高目标是考虑如何使各种服务软件尽可能地到达无缝连 接，开放式软件部件和敏感的部件在同一环境中交互运行，两者结合运行往往会产生不安 全的因素。而w e b 应用环境的特点，如与所在的位置无关、无状态性、代码和用户的移动 性，通信双方互为陌生或不可信等，使得对w e b 应用的安全研究更加复杂。 1 1 4 研究现状 w e b 应用安全产品可以工作于w e b 应用的不同阶段，因此对w e b 应用安全的研究也 5 第1 耄绪论 有不同角度。目前w e b 应用安全研究主要有以下2 类： ( 1 ) 对w e b 应用进行运行监控，记录并分析运行的状态和结果：典型代表如国内的 国防科技大学i l o 】正在研究的基于网络的w e b 应用安全测试评估系统，通过构造各种攻击消 息进行实时地模拟攻击，记录并分析w e b 应用对这些攻击行为的处理过程和攻击结果，找 出应用中存在的缺陷 ( 2 ) 在w e b 应用产品发布之前，在开发或测试阶段对产品的安全性进行评估分析。 典型代表如s p i d y n a m i c s 公司所开发的w 曲应用评估工具w e b l n s p e c t “j ，它可以工作于 w e b 应用的整个生命周期。其目的在于在产品发现漏洞的风险和开支，在应用产品发布之 前尽可能找出存在的所有漏洞，确保可信产品的开发。 本论文中的工作试图结合上述两者特点，研究一种既可用于w e b 应用运行监控，又可 对w e b 应用进行评估的w e b 应用安全机制。 1 2 本文研究工作 w e b 应用程序漏洞主要体现在动态网页的动态代码和与用户进行交互的数据输入上。 所以，对于一个w e b 应用程序漏洞扫描系统来说，一个优秀的扫描设计方案将会对各个关 键技术的设计、测试验证和实现起到关键作用，其设计的好坏直接关系到最后整个系统的 成败。本文工作重点之一就在于针对w e b 应用程序漏洞的特点，分析设计一个具有针对性 和实用性的扫描系统，对扫描的总体概念设计进行分析研究，提出一种适合于w e b 应用程 序漏洞扫描系统的概念模型，给出一套相对完整的，可行的设计方案。同时，着力解决其 中提出并面临的关键技术的研究和实现问题。 目前，国内外有许多商业的或开源的扫描软件，在遍历和扫描领域都有一系列的技术 成果，这些技术都有自己的优点和缺点。目前已有的网络扫描器基本上是针对普遍使用的 操作系统、大型系统软件本身的安全问题设计的。较少专门面向w e b 应用进行有针对性的 扫描，难以结合w e b 应用的具体情况进行更加深入、精确的分析，扫描具有较大的盲目性， 准确性也比较欠缺。所以，从需求出发，研究满足需求和设计要求的关键技术，使其能够 适应当前w e b 应用需求，具各对w e b 网站进行快速精确的安全测试扫描能力，将是一项很 有意义的研究工作。 1 研究意义 本论文的研究工作是江苏省高校自然科学研究计划项目“基于x m l 的i n t e m e t 应用缺 陷库特征构架研究”的一部分。w e b 是当前及今后电子政务、电子商务、网络教育等各类 核心应用的基础，根据国务院国家中长期科学和技术发展规划纲要( 2 0 0 6 2 0 2 0 年) ，“面 向核心应用的信息安全”是信息产业的重要研究课题。本论文将致力于研究基于当前w e b 应用的安全扫描系统的结构、w e b 应用缺陷扫描、w e b 安全攻击检测和w e b 安全审计系统 的关键技术和实现技术，继而开发相应的应用产品原型系统。该研究对提高w e b 应用系统 的安全性，防范计算机犯罪有重要意义，有着较好的社会、经济效益 6 第l 章绪论 2 研究目标 建立一个互操作性好、可扩展性强的层次型w e b 应用漏洞特征库框架，在此基础上研 发一个具有w e b 应用缺陷扫描、w e b 安全检测与报警及w e b 安全审计等综合安全功能的 w e b 应用安全扫描系统，为基于w e b 的核心应用的信息安全提供安全保障系统。 3 研究内容 本论文的研究内容主要包括：w e b 应用中存在的安全问题、如何划分和提取w e b 应用 缺陷信息、w e b 应用安全扫描系统的设计和实现三个方面，具体为： ( 1 ) 对当前w e b 应用中存在的安全问题、研究内容、研究方法等进行了广泛的分析 和研究；阅读大量的文献，了解w e b 应用系统的组成和针对各个部分存在的问题；着重研 究了国内外现有w e b 安全工具的特性和存在的不足。 ( 2 ) w e b 应用缺陷扫描系统关键技术研究，包括基于) 函几的应用漏洞特征库设计和 建立，x m l 解析器的设计与实现技术、w e b 应用缺陷扫描系统结构。 以w w w 为主要背景，以o w a s p 缺陷分类方法为主要依据，确立并论证应用缺陷特 征的主要描述内容：设计和建立基于x m l 的应用漏洞特征库；对应用特征库进行描述能 力评价；设计并实现基于x m l 的应用漏洞特征库的x m l 解析器；设计w e b 应用缺陷扫 描系统的功能模块。 ( 3 ) w e b 安全攻击检测关键技术研究，包括w e b 安全攻击检测模型设计与描述方法。 研究w e b 应用的特点，研究了攻击者攻击w e b 应用的各种手段，发现其中的攻击规律，研 究和提出一套针对w e b 应用的、较为行之有效的模拟攻击测试用例。 ( 4 ) w e b 安全审计系统的关键技术研究，包括w e b 安全审计规则与描述方法、w e b 安全审计系统结构设计。在研究了基于日志的网络安全审计系统的关键技术的基础上，设 计了适用于本系统需求的基于s 日志的w 曲应用安全审计系统。 ( 5 ) 初步设计和开发包含以上三个子系统的w e b 应用安全扫描原型系统。 4 研究过程 本论文以应用基础研究为主，研究w e b 应用安全扫描的体系结构和关键技术。进而开 发一个w e b 应用安全扫描原型系统。研究过程如下： ( ”研究w e b 应用漏洞特征，设计和建立基于沮。的应用漏洞特征库 在o w a s p 对w e b 应用缺陷分类的基础上，提出适合于当今w e b 应用环境的应用漏洞 特征描述内容：之后设计和建立基于x m l 的应用漏洞特征库，并对应用特征库进行描述 能力评价；然后设计并实现基于x m l 的应用漏洞特征库的x m l 解析器，将其应用于w e b 应用安全扫描中。 ( 2 ) 研究w e b 安全攻击检测模型设计与描述方法 以目前较成熟的网络入侵检测系统模型为借鉴，研究w e b 安全攻击检测模型设计与描 述方法，并设计w e b 安全攻击检测与报警系统结构。 采用先遍历后扫描评估的方式，以o w a s p 发布的十大应用程序漏洞分类作为扫描策 略，并在导出报告时选择依据国际标准的a v d l 模式的x m l 输出a v d l 报告记录了用 7 第1 章绪论 户的两种行为结果，即其输出结果分为两大部分。第一部分对应一次遍历行为，又称为一 次遍历会话。其输出的每一步反映出了站点基本的拓扑结构，描述了客户端发送的请求消 息、服务器的响应消息和作为请求结果的响应页面。一次遍历行为包含一次或多次请求和 响应消息交互，一次交互对应一个单独的遍历子容器。所有的遍历子容器提供了遍历行为 ( 会话) 的完整分层描述。第二部分是一次扫描行为，它提供了w e b 应用中现有的漏洞信 息。 ( 3 ) 研究w e b 安全审计规则及描述方法，实现w e b 应用安全扫描原型系统 借鉴网络管理系统模型及m i b 标准，研究w e b 安全审计规则及描述方法，并设计w e b 安全审计系统的结构。基于现代软件构建方法，开发包括w e b 应用缺陷扫描子系统、w e b 安全攻击检测与报警子系统和w e b 安全审计子系统的w e b 应用安全扫描原型系统，并进行 功能和性能测试。 1 3 论文组织结构 全文共分为七章，每章的概要如下： 第一章绪论，介绍了课题的研究背景和研究现状，包括w e b 应用的工作模型和通信 协议、w e b 安全相关问题、w e b 应用安全问题，提出了课题研究的方向，并对课题研究的 意义、目标、内容和技术进行了整体介绍。 第二章w e b 应用安全漏洞研究，讨论了当前w e b 应用中存在的漏洞分类情况和常用 的w e b 应用安全的攻击方式和测试技术； 第三章w e b 应用安全扫描系统结构，提出了w e b 应用安全扫描系统的结构模型，并 结合模型概要说明每个模块的功能及它们相互之间的关系； 第四章基于x m l 的w e b 应用程序漏洞特征库，在o w a s p 对w e b 应用缺陷分类的 基础上，提出适合于当今w e b 应用环境的应用缺陷特征描述内容，之后设计和建立基于 x m l 的应用漏洞特征库，并对应用特征库进行描述能力评价； 第五章w e b 应用安全扫描的关键技术，具体介绍系统中的各个模块的设计思路和相关 技术： 第六章w e b 应用安全扫描系统的实现，给出扫描系统具体的实验环境，描述w e b 应 用程序漏洞特征库的建立过程，阐述各工作模块的实现方法，并对原型系统进行测试和分 析； 第七章总结与展望，对课题进行总结，并指出下步将要进行的工作。 8 第2 章w e b 应用安全漏洞研究 第2 章w e b 应用安全漏洞研究 据s y m a n t e c 统计，2 0 0 6 年w e b 应用程序漏洞占所有安全漏洞的6 0 以上，w e b 应用 程序漏洞的数量巨大、种类繁多，并且微软和赛门铁克还在不断地定期发布新发现的w e b 应用漏洞。因为定义最严重的w e b 应用漏洞基本上是个不可能的任务，并且每一个漏洞对 于一个特定的组织的网络是唯一的，指出具体的漏洞没有太大的意义，所以根据对w e b 应 用程序漏洞认知和处理角度的不同，人们对大量的w e b 应用程序漏洞进行了有意义的分类， 也给出了一些有效的分类方法。例如普渡大学c o a s t 实验室的a s l a m 1 6 1 提出的漏洞方案 从漏洞的产生来源角度对漏洞类别进行描述，包括边界条件错误、存在校验错误、源校验 错误、处理异常条件错误等八个类别；微软为了构建w e b 应用程序安全框架的需求i l7 7 ，将 安全漏洞分为输入和数据验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、 参数操作、异常管理、审核与记录等十个大类；o w a s p l t s l j 通过研究很多漏洞分类体系， 按照若干漏洞是否紧密相关、是否使用类似的反制措施和是否经常出现在w e b 应用体系结 构的标准，给出了自己的十大应用程序漏洞列表。 2 1 漏洞级别 根据w e b 应用程序漏洞被攻击者利用后，对w e b 系统和w e b 应用程序本身所造成的 威胁的严重性，可以将漏洞分成a 、b 、c 、d 四个等级i l 川； 1 a 级漏洞 能够使远程主机上的恶意入侵者获得有限的访问权限或r o o t 权限，从而控制整个系统， 对系统中的数据进行非法访问、篡改和破坏，常由较差的系统管理或错误设置造成，威胁 性最大，如o w a s p 列表中的注入式攻击，它可以在未知用户或密码的情况下，执行操作 系统命令，对数据库进行非法访问，甚至完全控制或破坏系统和数据库。 2 b 级漏洞 指允许本地用户( 在目标机器网络上有账号的用户) 获得增加的和非授权的访阔，如 读取，写或执行系统上的非r o o t 用户的文件、写或执行系统上的r o o t 用户的文件。这种漏 洞一般出现在多种平台的应用程序中且有严重的威胁，因为如果本地用户成功的利用这一 漏洞，就可以利用基本的系统工具获取局域网更多的信息。所以，即使本地用户短暂的提 升其访问权限，也能在很大程度上利用此访问进行许多不受限制的操作，如o w a s p 列表 中的未被验证的输入漏洞，如果w e b 应用程序没有对恶意输入进行过滤或校验，攻击者可 在已知某个用户名的情况下，获取该用户的权限，读取或执行某些未授权的内容和命令。 3 c 级漏洞 指允许拒绝服务的漏洞，用户不能对文件和程序进行访问，是脆弱性等级较低的漏洞 第2 章w e b 应用安全漏洞研究 它几乎存在于任何在i n t e m e t 上运行的t c p i p 操作系统的网络服务系统中。拒绝服务攻击 是一类个人或多人利用h l t e r l l e = t 协议组的某些方面，拒绝其他用户对系统和信息的合法访问 的攻击。实施这种攻击的攻击者无法取得系统中的任何访问权，即攻击者通过这些手段不 会破坏数据或获得未授权的权限，其目的就是停止网络服务。在o w a s p 分类列表，将拒 绝服务的漏洞作为一个单独的类别进行划分，通常攻击者通过发出高流量的数据或请求耗 尽w e b 应用提供的有限资源，使w e b 服务器不能对其他合法用户提供正常的应用服务。 4 d 级漏洞 该漏洞本身只是网络通讯协议的必要实现，允许远程用户获取目标主机上的某些信息， 但是不会对系统造成任何危害，可能会被攻击者用于在攻击的初始阶段收集获取目标网络 或主机的脆弱性信息，比如机器是否启动、操作系统类别、运行f t p 服务的端口号及软件 版本等，为其下一步大规模入侵目标系统做初步的信息搜集工作。所以，如果目标网络或 主机中存在一些不安全的配置或管理策略情况，这些信息就会为攻击者的进一步攻击行为 提供线索。 2 2w e b 应用程序漏洞分类 在本文中构建的w e b 应用程序漏洞特征库采用了目前受到广泛认可的o w a s p 分类方 法。o w a s p 在研究了很多漏洞分类机制的基础上将w e b 应用中的主要安全漏洞分成了十 大类别。而决定一个好的漏洞类别的因素包括这些漏洞是否紧密相关，能够使用类似的反 制措旌，和经常出现在w 曲应用体系结构中【。 2 2 1 未被验证的输入 w e b 应用使用来自h t i p 请求( 有时来自文件) 的输入来决定如何进行响应。攻击者 可以篡改 r r r p 请求的任何部分，包括u r l 、查询字符串、头部、c o o k i e 、表单域和隐藏 域，试图越过站点的安全机制。常见的输入篡改攻击有：强力浏览、命令插入、跨站点脚 本、缓冲区溢出、格式化字符串攻击、s q l 注入、毒化c o o k i e 和混合隐藏域等。 网站的管理者和开发人员往往希望通过过滤恶意输入来保护自己。但是，网页中存在 多种信息编码【2 0 】方法且它们容易被破解，所以在使用参数前要进行编码，并且参数在被验 证前必须被转化成最简单的形式，以防止恶意输入绕过这些过滤器，进而实施代码模糊攻 击。 大量的w e b 应用只使用客户端的机制来验证输入。客户端验证的性能和实用性很好， 可以增强用户的体验并减少对服务器的无效流量，但是它没有任何的安全性，很容易被绕 过，使得w e b 应用对恶意参数缺乏保护。例如，攻击者可以使用简单的工具比如t e l n e t 产 生h t r p 请求，绕过开发人员在客户端的限制。因此，必须使用服务器端的检查来对付参 数篡改攻击。 i o 第2 章w e b 应用安全漏洞研究 防止参数篡改最好的方法是确保所有的参数在使用前被验证。一个统一的组件或者库 是比较有效的办法。每一个参数都应该限制输入的具体形式，针对“正面的”规范来进行 验证。定义的规范包括数据类型( 串、整型、实数等) 、允许的字符集、最小和最大的长 度、是否允许空输入、参数是否是必须的、重复是否允许、数值范围、特定的值( 枚举型) 、 特定的模式( 正则式) 等 2 2 2 错误的访闯控制 访问控制是指w e b 应用程序如何给不同用户授予对内容和功能的不同的访问权限。访 问控制的检查在身份认证之后执行，用来决定被授权的用户能够实施的操作。一个w e b 应 用程序的访问控制模型是和网站提供的内容和功能紧密相连的。用户会被分为具体的不同 能力或权限的用户组或者角色。 网站需要一个事先规划好的访问控制方案，但实现一个可靠的访问控制机制很难。许 多开发人员只是随着网站开发的进程去添加一些未经仔细设计的访问控制方案，这些访问 控制的规则被加入到原代码中的不同的位置，造成在网站接近部署阶段时，这些没有考虑 全局的规则组合在一起变得很复杂和难以理解。攻击者只需要编写一个对无权访问的功能 和内容的请求，就可以发现和利用这些有问题的访问控制方案，查看未经授权的内容、篡 改和删除这些内容、执行未经授权的功能，甚至夺取网站的管理权限。同时，网站管理员 可以通过i n t e r n e t 的管理员界面管理网站的用户、数据和内容，网站也通过支持不同的管理 员角色来实现细化的网站管理。管理员界面功能强大，它往往成为内部和外部攻击