10002628 周荣杰12答辩ppt_周荣杰

1、Web服务安全性测试研究指导老师：张迎周教授学生：周荣杰10002628目录页01 研究背景02 研究现状03 设计思路04 完成工作研究背景1、Web服务跨平台性、难以控制2、Web服务应用的广泛性，易成为攻击目标3、Web服务开放式技术，易于访问也易于受攻击研究现状1、IBM和微软联合推出了Web服务安全方面的白皮书2、Web服务的安全传输机制WS-Security规范3、微软还宣布了Windows技术TrustBridge设计思路1、开发一个Web服务2、开发一个Web应用，调用该Web服务3、在调用的过程中进行安全性测试完成工作完成一个Web服务的接口http:/localhost:8

2、080/WebSecurity/services/SeviceSecurity?wsdlWSDL展示Web应用调用服务接口/* 注册方法（调用Web Service）*/public String register()Object result = null; Client client = null; try client = new Client(new URL(http:/localhost:8080/WebSecurity/services/ServiceSecurity?wsdl);client.setProperty(CommonsHttpMessageSender.HTTP_TI

3、MEOUT, 1000000); result = client.invoke(register, newObjectuser.getUserName(),user.getPassword();Object status = result0; if(status.equals(OK)return register_OK; catch (MalformedURLException e) / TODO Auto-generated catch block e.printStackTrace(); catch (Exception e) / TODO Auto-generated catch blo

4、ck e.printStackTrace();return register_Fail;页面展示在页面输入数据，传输给Web应用，Web应用调用服务接口，传递数据，通过Web服务与数据库进行交互测试工作1.sql注入的测试的MD5加密2.3. 编写带有攻击性的js文章4. 超时注销5. 未登录的用户不可以访问相关页面SQL注入的测试登录时，随意输入一个用户名，用1 or1=1来代替，测试是否也能登录，即测试是否存在SQL注入的问题加密的测试在登录和注册的时候，使用sniff工具进行抓包，获取用户名和就会泄露，如果未加密的话，带有攻击性的js文章向数据库保存带有攻击性的js文章，然后再前台展示该文章的时候，可能触发这段js function aa()alert(xxxx.);setTimeout(aa(),1000);aa();超时注销和拦