Web应用系统的安全性测试技术探讨

1、Web 应用系统的安全性测试技术探讨摘 要 现阶段，Web服务已经开始成为国内大多数政 府部门或者企业单位开发系统的基本方式。 Web 应用系统包 含很多业务，如果安全问题出现漏洞，其后果不堪设想，为 此 Web 应用系统的安全问题也逐渐成为了限制 Web 服务发 展的主要因素。 现阶段针对 Web 应用系统进行的安全性研究 还处在对 Web 服务安全实现的阶段， Web 应用系统安全性测 试技术发展相对缓慢。随着时代的发展，越来越多的研究人 员开始重视 Web 应用系统及其服务的安全性问题， 很多测试 工具和方法被开发出来。 本文正是基于此， 首先对 Web 应用 系统的组成结构进行了简要分

2、析，并结合笔者实际研究，提 出了几点 Web 应用系统的安全性测试技术。【关键词】 web 应用系统 安全测试技术 分析探讨1 Web 的组成Web 属于一个完整的应用系统，它的结构相当复杂，而 恰恰因为Web应用系统中复杂的结构，才能够为用户提供更 多的交互服务，从而使 Web应用系统中的所有活动都能够和 后台数据库相对接。正常的情况之下，一个完整的 Web应用 系统主要包括了下面几个核心组件： 用户接口代码： 它属于 Web 应用系统中的表示层， 用 户接口代码也是把客户端和 Web 服务进行连接的接口之一， 正是用户接口代码提供了站点可视界面。它的编写方式一般 来说有 Java、 Jav

3、aScript、 VB 、HTML 和 ActiveX 。 Web、应用服务器软件： Web应用服务器软件是保证用户浏览器和Web应用可以实现正常通信的重要组件。它的任务一般是处理 HTTP 消息请求或者管理组用户会话。现阶 段我们使用的Web站点一般来说是使用第三方提供的服务 器，例如 IIS 、 Apache 等。 前端系统：它的作用一般是和用户接口代码以及后台 系统直接交互，当用户接口代码把客户端所提供的信息进行 传输之后，前端系统可以即时的对其进行处理。典型的前端 系统一般有CGI、ASP和JSP等。 后台系统： 后台系统是 Web 应用系统的驱动， 它一般 提供给直接与数据库对接的功

4、能，从而进行商务逻辑处理，在 Web 应用系统中，后台系统通常都是客户定制开发的。 数据库系统：通常来说指的是第三方数据库软件，例 如说 My SQL 以及 DB2 等。组成结构如此复杂的 Web 应用系统， 其安全保护机制也 应该是非常全面的。因为构成它的各个组件都可能会产生一 定的风险，所以我们应该对其中的各个环节都进行安全性检 测和控制。例如说用户接口代码中对部分数据进行首次过 滤，同时在前端系统和后台系统中进行校验。但我们也必须 要了解， Web 应用系统内部虽然已经存在一定的安全防护机 制，但依旧会出现很多的安全漏洞。2 Web 应用系统的安全性测试技术分析2.1 Web服务安全性测

5、试框架Web 应用系统安全性测试框架一般来说有五个环节，从 威胁的建模到报告，各个环节形成的文档记录通常有威胁剖 面、测试需求说明、测试策略和计划、测试结果与报告。第 一个环节的作用一般是对安全目标的确定和对威胁漏洞的 确定；第二个环节测试通常是根据软件的需求和威胁剖面对 测试对象与测试内容进行确定以及资源分配；第三个环节中 的测试策略文档记录是对应用系统中程序总统构架、资源需 求和缺陷跟踪变更的控制策略；第四个环节是对测试环境、 安全测试需求、人员进度安排等情况的描述；第五个环节是 在测试执行与报告环节的主要作用下，对测试结果进行记 录、创建出测试报告等。2.2 体系安全性测试技术对 Web

6、 应用系统体系结构进行安全测试能够帮助我们 找到许多漏洞，进而全面提升 Web 应用系统的安全性。在 Web应用系统的设计过程中开展针对安全漏洞的检测以及修 复能够帮助我们处理很多后期容易产生的安全问题，同时也 可以让安全测试具有更好的经济性。在开发过程中对目标部 署环境相关的设计进行充分考虑， 从而确保 Web 应用系统的 设计更具有安全性。这种类似白盒子的测试手段主要是针对 处在开发环节的目标网站展开的源代码级别的安全性检测， 这种安全性测试方式通常都应该经过非常熟悉 Web 应用系 统安全性的编码专家以及程序员对其中的所有源代码进行 校对纠错。一般来说对 Web 应用系统进行安全性测试都

7、是从 部署基础结构、配置管理、会话管理、加密参数操作以及审 核等开始着手的。2.3 应用和传输安全测试技术面对一个已经设计完成的 Web 应用系统， 我们可以对其 进行安全性测试来对 Web 系统中发现的安全漏洞进行修复， 同时对未来的设计工作进行完善。 “黑箱子”这种测试方法 通常指的是针对已经能够正常运行的目标系统，选择一些对 Web应用系统正常运行不会造成影响的手段来远程开展安全 技术测试，运用模拟黑客入侵等手段对目标系统在被攻击状 态下的安全运行情况进行检测。 对于Web应用系统的安全性 测试一般可以从应用级与传输级两方面着手。应用级安全测 试技术即是利用 Web 应用系统内部的自我检

8、测程序， 从而找 到 Web 系统自身设计中存在的漏洞， 应用级测试一般来说主 要有对目录设置、注册登陆、在线操作、备份恢复等内容的 安全测试；传输级安全测试一般来说是基于 Web应用系统传 输特性，其安全测试目标一般是找出数据信息从客户端到服 务器这一传输过程中存在的漏洞，从而增强服务器拒绝非法访问的能力，传输级安全测试一般来说有SSL、数据加密、服务器脚本漏洞检测等。3 结语总之，随着基于 Web 服务为基础的应用系统被广泛的应 用于社会各个行业各个方面， Web 应用系统的安全问题也开 始凸显出来， 对 Web 应用系统开展安全性测试能够在很大程 度上保证 Web 服务的安全性。 但是现阶段就我国对其的研究 现状而言， 国内的 Web 应用系统安全性测试技术还处在初级 阶段，很多工具仅仅能够进行一些基础性的安全测试。但是 我们相信随着科学技术的发展以及Web 安全标准的逐渐完善，针对 Web 应用系统的安全性测试技术也会逐渐成熟， Web 安全测试技术和相关测试方法必然会得到进一步的发 展