Web应用系统的安全性测试技术探讨

1、web 应用系统的安全性测试技术探讨摘 要 现阶段，web服务已经开始成为国内大多数政府部门或者企业单位开发系统的基本方式。 web 应用系统包含很多业务，如果安全问题出现漏洞，其后果不堪设想，为此 web 应用系统的安全问题也逐渐成为了限制 web 服务发展的主要因素。 现阶段针对web 应用系统进行的安全性研究还处在对 web 服务安全实现的阶段， web 应用系统安全性测试技术发展相对缓慢。随着时代的发展，越来越多的研究人员开始重视web 应用系统及其服务的安全性问题， 很多测试工具和方法被开发出来。 本文正是基于此， 首先对 web 应用系统的组成结构进行了简要分析，并结合笔者实际研究

2、，提出了几点 web 应用系统的安全性测试技术。【关键词】 web 应用系统 安全测试技术分析探讨1 web 的组成web 属于一个完整的应用系统，它的结构相当复杂，而恰恰因为 web 应用系统中复杂的结构， 才能够为用户提供更多的交互服务， 从而使 web 应用系统中的所有活动都能够和后台数据库相对接。 正常的情况之下， 一个完整的 web 应用系统主要包括了下面几个核心组件：用户接口代码： 它属于 web 应用系统中的表示层， 用户接口代码也是把客户端和 web 服务进行连接的接口之一，正是用户接口代码提供了站点可视界面。它的编写方式一般来说有java、 javascript、 vb 、

3、html 和 activex 。web、应用服务器软件：web应用服务器软件是保证用户浏览器和web 应用可以实现正常通信的重要组件。它的任务一般是处理http 消息请求或者管理组用户会话。现阶段我们使用的web 站点一般来说是使用第三方提供的服务器，例如iis、apache等。前端系统：它的作用一般是和用户接口代码以及后台系统直接交互，当用户接口代码把客户端所提供的信息进行传输之后，前端系统可以即时的对其进行处理。典型的前端系统一般有cgi、asp和jsp等。后台系统： 后台系统是web 应用系统的驱动， 它一般提供给直接与数据库对接的功能，从而进行商务逻辑处理，在 web 应用系统中，后台

4、系统通常都是客户定制开发的。数据库系统：通常来说指的是第三方数据库软件，例如说 my sql 以及 db2 等。组成结构如此复杂的 web 应用系统， 其安全保护机制也应该是非常全面的。因为构成它的各个组件都可能会产生一定的风险，所以我们应该对其中的各个环节都进行安全性检测和控制。例如说用户接口代码中对部分数据进行首次过滤，同时在前端系统和后台系统中进行校验。但我们也必须要了解， web 应用系统内部虽然已经存在一定的安全防护机 制，但依旧会出现很多的安全漏洞。2 web 应用系统的安全性测试技术分析2.1 web 服务安全性测试框架web 应用系统安全性测试框架一般来说有五个环节，从威胁的建

5、模到报告，各个环节形成的文档记录通常有威胁剖面、测试需求说明、测试策略和计划、测试结果与报告。第一个环节的作用一般是对安全目标的确定和对威胁漏洞的确定；第二个环节测试通常是根据软件的需求和威胁剖面对测试对象与测试内容进行确定以及资源分配；第三个环节中的测试策略文档记录是对应用系统中程序总统构架、资源需求和缺陷跟踪变更的控制策略；第四个环节是对测试环境、安全测试需求、人员进度安排等情况的描述；第五个环节是在测试执行与报告环节的主要作用下，对测试结果进行记录、创建出测试报告等。2.2 体系安全性测试技术对 web 应用系统体系结构进行安全测试能够帮助我们找到许多漏洞，进而全面提升web 应用系统的

6、安全性。在web应用系统的设计过程中开展针对安全漏洞的检测以及修复能够帮助我们处理很多后期容易产生的安全问题，同时也可以让安全测试具有更好的经济性。在开发过程中对目标部署环境相关的设计进行充分考虑， 从而确保 web 应用系统的设计更具有安全性。这种类似白盒子的测试手段主要是针对处在开发环节的目标网站展开的源代码级别的安全性检测，这种安全性测试方式通常都应该经过非常熟悉web 应用系统安全性的编码专家以及程序员对其中的所有源代码进行校对纠错。 一般来说对web 应用系统进行安全性测试都是从部署基础结构、配置管理、会话管理、加密参数操作以及审核等开始着手的。2.3 应用和传输安全测试技术面对一个

7、已经设计完成的 web 应用系统， 我们可以对其进行安全性测试来对web 系统中发现的安全漏洞进行修复，同时对未来的设计工作进行完善。 “黑箱子”这种测试方法通常指的是针对已经能够正常运行的目标系统，选择一些对web应用系统正常运行不会造成影响的手段来远程开展安全技术测试，运用模拟黑客入侵等手段对目标系统在被攻击状态下的安全运行情况进行检测。 对于 web 应用系统的安全性测试一般可以从应用级与传输级两方面着手。应用级安全测试技术即是利用 web 应用系统内部的自我检测程序， 从而找到 web 系统自身设计中存在的漏洞， 应用级测试一般来说主要有对目录设置、注册登陆、在线操作、备份恢复等内容的

8、安全测试； 传输级安全测试一般来说是基于 web 应用系统传输特性，其安全测试目标一般是找出数据信息从客户端到服务器这一传输过程中存在的漏洞，从而增强服务器拒绝非法访问的能力，传输级安全测试一般来说有 ssl 、数据加密、服务器脚本漏洞检测等。3 结语总之， 随着基于 web 服务为基础的应用系统被广泛的应用于社会各个行业各个方面， web 应用系统的安全问题也开始凸显出来， 对 web 应用系统开展安全性测试能够在很大程度上保证 web 服务的安全性。 但是现阶段就我国对其的研究现状而言， 国内的 web 应用系统安全性测试技术还处在初级阶段，很多工具仅仅能够进行一些基础性的安全测试。但是我们相信随着科学技术的发展以及web 安全标准的逐渐完善，针对 web 应用系统的安全性测试技术也会逐渐成熟，web 安全测试技术和相关测试方法必然会得到进一步的发展。参考文