Web安全性测试技术综述

对Web应用程序进行有效彻底的测试是及早发现安全漏洞、提高Web应用安全质量的一种重要手段。首先介绍了Web应用安全威胁分类,总结了常见的Web应用安全漏洞;然后对当前Web安全性测试技术的研究进行了全面概述,比较了静态技术和动态技术各自的优缺点,同时对在Web安全性测试中新兴涌现的模糊测试技术进行了详细的介绍和总结;最后指出了Web安全测试中有待解决的问题以及未来的研究方向。     

Web服务消息级安全功能测试工具设计与实现

提出一种Web服务安全性测试框架,能有效规范安全性测试过程,增强测试效能。针对Web服务安全功能测试需求定义与测试策划阶段,分析Web服务主要的安全功能需求、实现标准及实施Web服务安全性测试的一般原理。针对测试执行阶段,设计并实现了一个Web服务消息级安全功能测试工具,能够自动生成安全性测试用例,实验表明该工具是适用且有效的。     

试论Web应用系统的安全性测试技术

对于Web应用系统安全性的研究还停留在对其服务安全实现的基础上,而安全测试性技术研究较为薄弱。Web应用的逐渐普及让很多技术研究人员对Web应用系统的安全性检测开始重视,很多检测工具被开发出来。基于Web应用系统的安全性测试,分析了Web的组成以及Web服务安全性测试框架,并结合实际工作经验,提出了增强Web应用系统安全性的测试途径。     

试论Web应用系统的安全性测试技术

由于当前对于Web应用系统安全性的研究仅仅停留在服务安全的实现方面,对于安全测试性技术研究依然薄弱。随着Web应用的普及,越来越多的技术研究人员开始重视Web应用系统的安全性检测,越来越多的检查工具被开发了出来。本文基于Web常见的安全性问题,分析Web服务安全性测试框架,以此来探讨安全性测试技术,希望能够提升Web应用系统的安全性。     

B／S架构软件的安全性测试研究

网络技术的发展使得以Web2．0为核心的应用越来越广泛,B／S架构软件的安全缺陷和漏洞不断增多,B／S架构的特殊性使得对B／S架构软件的安全性测试方法应不同于传统软件。文中描述了B／S架构软件的特点,对Web软件的安全性测试进行了分类,并详细阐述了测试要点和测试内容。从攻击者的角度,分析了Web软件常见的安全漏洞和测试方法。最后总结了当前研究工作并指出了未来软件安全性测试技术的研究重点与发展方向。     

灰盒web安全检测技术

在传统应用测试方法中,灰盒测试介于白盒测试与黑盒测试之间。灰盒Web安全检测依然遵循灰盒测试概念,但只关注代码实现的安全部分。Web应用代码层面的安全问题或安全漏洞绝大部分来自于输入,在代码业务逻辑中关键函数的执行未做安全处理,最终形成安全问题或安全漏洞。     

浅析Web应用软件开发安全

Web应用软件的安全问题日益突出, 提高软件代码自身安全和在软件开过程中控制安全风险成为亟需解决的问题. 本文首先剖析了Web应用常见的安全漏洞, 分析其表现形式、形成原因、规避措施, 并提出了在软件开发生命周期全过程中预防安全漏洞的措施和方法. 通过从软件开发过程管理和技术手段两个方面系统性地预防Web应用安全风险, 有效地提高了交付Web应用软件的安全性.     

一种端到端的SOA安全服务解决方案

针对Web服务的安全问题日益严重,本文结合实例分析面向服务架构的安全漏洞及安全需求,提出了构建端到端安全服务的解决方案,并在WS-Security、SAML等有关消息级安全的规范基础上,探讨了面向服务架构的安全架构设计与实现方法.通过采用Web服务和身份管理的最佳实践模型,保证了所传输消息的机密性、完整性、抗抵赖性,实现了安全的身份验证及单点登录.     

一种Web软件安全漏洞分类方法

研究了环境错误与状态错误引发Web应用软件安全问题的途径,在此基础上提出了一种用于进行Web应用软件安全漏洞分类的层次分析模型。使用该模型对CVE漏洞数据库中抽取的Web软件安全漏洞进行了分类,并与使用EAI模型分类的结果做了对比。评估结果表明,该模型具备良好的漏洞分类能力,适用于指导Web应用软件的安全测试和安全防御工作。     

精心配置IIS打造安全Web服务器

因为IIS(Internet Information Server)的方便性和易用性．所以成为最受欢迎的Web服务器软件之一。但是．IIS从诞生起．其安全性就一直受到人们的置疑．原因在于其经常被发现有新的安全漏洞。虽然IIS的安全性与其他的Web服务软件相比有差距．不过．只要我们精心对IIS进行安全配置，仍然能建立一个安全性的Web服务器的。     

基于静态分析和动态检测的xss漏洞发现

Web应用程序数量多、应用广泛,然而它们却存在各种能被利用的安全漏洞,这当中跨站脚本(XSS)的比例 是最大的。因此为了更好地检测Web应用中的XSS漏洞,提出了一种结合污染传播模型的代码静态分析及净化单元 动态检测的方法,其中包括XSS漏洞所对应的源规则、净化规则和接收规则的定义及净化单元动态检测算法的描述。 分析表明,该方法能有效地发现W cb应用中的XSS漏洞。     

基于规则库和网络爬虫的漏洞检测技术研究与实现

Web技术是采用HTTP或HTTPS协议对外提供服务的应用程序,Web应用也逐渐成为软件开发的主流之一,但Web应用中存在的各种安全漏洞也逐渐暴露出来,如SQL注入、XSS漏洞,给人们带来巨大的经济损失.为解决Web网站安全问题,文章通过对Web常用漏洞如SQL注入和XSS的研究,提出了一种新的漏洞检测方法,一种基于漏洞规则库、使用网络爬虫检测SQL注入和XSS的技术.网络爬虫使用HTTP协议和URL链接来遍历获取网页信息,通过得到的网页链接,并逐步读取漏洞规则库里的规则,构造成可检测出漏洞的链接形式,自动对得到的网页链接发起GET请求以及POST请求,这个过程一直重复,直到规则库里的漏洞库全部读取构造完毕,然后继续使用网络爬虫和正则表达式获取网页信息,重复上述过程,这样便实现了检测SQL注入和XSS漏洞的目的.此方法丰富了Web漏洞检测的手段,增加了被检测网页的数量,同时涵盖了HTTP GET和HTTP POST两种请求方式,最后通过实验验证了利用此技术对Web网站进行安全检测的可行性,能够准确检测网站是否含有SQL注入和XSS漏洞.     

Web application security assessment tools

Security testing a Web application or Web site requires careful thought and planning due to both tool and industry immaturity. Finding the right tools involves several steps, including analyzing the development environment and process, business needs, and the Web application's complexity. Here, we describe the different technology types for analyzing Web applications and Web services for security vulnerabilities, along with each type's advantages and disadvantages. At Foundstone, we work with some of the world's biggest banks and telecommunications companies to identify and resolve security issues. Together with our clients, we face challenging testing scenarios in the context of demanding applications and complex business environments. We've seen firsthand what works and what doesn't; what's marketing hype and what gets results. Our analysis here is based on our collective experiences and the lessons we've learned along the way.     

Web服务测试研究

Web服务技术为软件测试研究带来了新的挑战。Web服务测试需要能够适应面向服务的新的分布式计算体系架构。为保证服务的质量，Web服务需要从多个层次进行验证与确认，包括基础设施、单元服务、集成服务等；测试需涵盖服务的功能、性能、可靠性、安全等各个方面。本文从web服务体系架构和应用模式出发，讨论了Web服务测试的主要问题。文章分析当前相关研究的现状，并归纳总结了SOAP协议验证、WSDL语言扩展、基于模型的服务集成验证、和测试构架等主要研究成果。本文最后讨论了当前存在的主要问题及进一步的研究方向。     

一种新颖的Web服务安全性测试方法

针对传统的Web服务安全性测试方法存在的低效、缺乏灵活性、不适应复杂安全功能测试及难以实现异常测试等问题,本文提出一种基于WSDL文件动态解析和安全功能分解的Web服务安全性测试方法。该方法采用运行时动态解析WSDL文件的方式解决了传统测试方法与被测Web服务紧耦合的问题,将复杂安全功能分解为7类原子安全处理类型,使其能够有效适应复杂安全功能测试的需要,采用故障注入机制生成错误的SOAP消息使其支持异常测试。实验结果表明,该方法具有灵活性、高效性和先进性。     

基于Fuzzing的Web控件漏洞检测改进模型

Web软件安全漏洞层出不穷,攻击手段日益变化,为分析现有的Web控件漏洞检测方法,提出基于Fuzzing测试方法的Web控件漏洞检测改进模型。该系统从功能上分为五大模块进行设计和实现,并结合静态分析与动态分析技术检测WebActiveX控件模型的漏洞,给出"启发式规则"来优化测试数据生成引擎。实例测试结果表明,Web控件漏洞的Fuzzing测试模型是有效和可行的,并能妥善处理好交互性问题。