转载自: 繁华落尽的个人空间
生命就像一场云游 坎坷也是一种收获
一个完整的Web安全体系 MILY: 宋体; mso-bidi-font-family: 宋体"> 测试可以从部署与基础结构,输入验证,身份验证,授权, 配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和 日志记录等几个方面入手
Web 安全性测试
数据加密:某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信息、用户登陆密码信息等。此时需要进行相应的 其他操作,如存储到 数据库、解密发送要用户电子邮箱或者客户浏览器。目前的加密算法越来越多,越来越复杂,但一般数据加密的过程时可逆的,也就是说能进行加密,同时需要能进行解密!
登录:一般的应用站点都会使用登录或者注册后使用的方式,因此,必须对用户名和匹配的密码进行校验,以阻止非法用户登录。在进行登陆测试的时候,需要考虑输入的 密码是否对大小写敏感、是否有长度和条件限制,最多可以尝试多少次登录,哪些页面或者文件 需要登录后才能访问/下载等。
超时限制:WEB应用系统需要有是否超时的限制,当用户长时间不作任何操作的时候,需要重新登录才能使用其功能。
SSL:越来越多的站点使用SSL安全协议进行传送。SSL是Security Socket Lauer(安全套接字协议层)的缩写,是由Netscape首先发表的 网络数据安全传输协议。SSL是利用公开密钥/私有密钥的加密 技术。(RSA),在位于HTTP层和TCP层之间,建立用户与 服务器之间的加密通信,确保所传递信息的安全性。SSL是 工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。进入一个SSL站点后,可以看到浏览器出现警告信息,然后地址栏的http变成https,在做SSL测试的时候,需要确认这些特点,以及是否有时间链接限制等一系列相关的安全保护。
服务器 脚本语言:脚本语言是最常见的安全隐患,如有些脚本语言允许访问根目录,经验丰富的黑客可以通过这些 缺陷来攻击和使用服务器系统,因此,脚本语言安全性在 测试过程中也必须被考虑到。
日志文件:在服务器上,要验证服务器的日志是否正常工作,例如CPU的占用率是否很高,是否有例外的进程占用,所以的事务处理是否被记录等。
目录:WEB的目录安全是不容忽视的一个因素。如果WEB程序或WEB服务器的处理不适当,通过简单的URL替换和推测,会将整个WEB目录完全暴露给用户,这样会造成很大的风险和安全性隐患。我们可以使用一定的解决方式,如在每个目录访问时有index.htm,或者严格设定WEB服务器的目录访问权限,将这种隐患降低到最小程度。
WEB应用安全的增强只有两种解决途径,“黑箱子” 安全测试和“ 白盒子”安全测试。
所谓“黑箱子”安全测试方法是指目标测试网站已经正常投入使用的情况下,采用不影响业务正常运转的技术手段进行远程测试,通过模拟黑客的惯用入侵伎俩和手法,测试目标WEB系统在真实的不法攻击压力下的安全性。
所谓“白盒子”安全测试方法是指在目标网站还处于 开发阶段的时侯,进行基于安全编码规则的源代码级别测试。这种测试方法所需要的代价很高,通常需要精通WEB系统安全的安全编码专家带领 程序员对整个系统源代码进行阅读和纠错,增加安全代码以使得“黑箱子”安全测试得到安全的结论。
所以,确保网上 银行WEB系统应用程序的安全不是一件简单的事,而不幸的是对WEB应用程序的攻击是非常容易实施的。从信息安全的层面,黑客针对WEB的攻击可以达到从窃取产品和敏感信息到使整个WEB站点甚至后台核心数据库服务器完全瘫痪。
一个黑客通常都会花上几个小时来熟悉他企图突破的WEB应用程序,他会象编制这一套程序的程序员那样思考程序的设计和编码,然后找出编程时留下的漏洞,然后通过浏览器恶意地与应用程序以及数据库进行交互,造成或大或小的损害。要防止这些问题,公司必须预先找出网站的弱点然后关闭有可能被黑客可利用的缝隙。
国外权威的WEB应用安全著作
“《Web Hacking: Attacks and Defense》
by Stuart McClure, Saumil Shah, Shreeraj Shah
《Hacking Exposed (TM) Web Applications 》
by Joel Scambray, Mike Shema“
针对电子商务和网上交易WEB应用平台的安全隐患分类如下:
APPLICATION BUFFER OVERFLOW 应用层缓冲区溢出( 压力测试)
COOKIE POISONING cookie安全使用状况评估
CROSS-SITE SCRIPTING 跨站脚本攻击风险评估
HIDDEN MANIPULATION 页面隐藏参数域篡改风险评估
STEALTH COMMANDING 系统隐蔽指令执行风险评估
3RD PARTY MISCONFIGURATION 第三方误配置安全隐患
KNOWN VULNERABILITIES 各类型已知安全漏洞
PARAMETER TAMPERING URL参数篡改攻击风险评估
BACKDOOR & DEBUG OPTIONS 后门程序和调试选项遗留隐患
FORCEFUL BROWSING WEB内容强力浏览问题
一个完整的WEB应用是颇为复杂的,它提供电子商务系统的商务逻辑,使得用户可以与WEB站点进行交互操作,其交易活动可以和后台数据库系统接口。WEB应用通常包括下面几个关键组件。
用户接口代码:这是WEB应用的表示层,它创建了站点的可视界面,是联系客户端以及WEB服务 器的接口部分,通常采用HTML、 Java、JavaScript、ActiveX、 VB以及其他第三方编写方式。
WEB服务器软件:WEB服务器用来支持用户浏览器和WEB应用之间的正常通信,它负责处理HTTP请求/响应消息、管理用户会话。几乎所有的WEB站点都采用第三方厂商的WEB服务器产品,例如IIS、iPlanet、Apache等。
前端系统:前端系统直接同用户接口代码、操作系统、后台系统进行交互,客户端通过用户接口代码传递的参数将被前端系统处理,最有代表性的例子就是各种CGI、JSP和ASP代码。
后台系统:后台系统是WEB应用真正的驱动部分,它负责处理真正的商务逻辑,直接与数据库系统接口。后台系统通常都是客户定制开发的。
数据库系统:WEB站点通常会采用第三方数据库软件,包括 MySQL、 Oracle、DB2等。
一个如此复杂的WEB系统,其安全保护机制也应该是多层次全方位的,这是因为构成WEB系统的每一个环节都可能存在脆弱性并由此引入风险,所以每个环节都需要相应的安全控制,例如在WEB应用的用户接口代码中对一些违犯语法规则的数据进行过滤,在前端系统和后台系统中对异常内容进行校验。不过,我们也看到,尽管多数WEB应用都采用了这样那样的安全控制措施,但由于其本身构成的复杂多样,出现某些漏洞也在所难免。
怎样最大程度发现并解决WEB应用系统的漏洞呢?一种方法就是在软件编写过程中进行测试,这也是软件开发周期中一项重要的工作。还有一点非常重要,那就是在WEB应用系统配置完毕正式启用之前对它进行在线评估,通常这是通过远程的安全扫描来实现的。
但是,我们看到,传统的安全扫描技术是有许多缺陷的,一个是不能对未知漏洞进行检测,另一个就是其判断依据过于简单(只依靠HTTP响应消息中的状态码来判断),经常造成误报和漏报,极大地影响了WEB系统 安全评估的 可靠性和准确性。
那么,怎样才能解决这一问题呢?
为了进行有效的WEB安全性审计,除了用传统的扫描器进行初步检测之外,更多时候,还得依靠技术高超的安全专家,手工检测分析目标系统的安全性。手工分析的方法通常包括三个阶段:分析、测试和报告。在分析阶段, 测试人员需要对整个WEB应用系统的框架结构深入了解,对每一处牵涉到客户端数据处理的网页内容进行分析,并对与数据库操作相关的部分进行检查,当然,所有的分析工作,都是以一个普通用户的身份,通过正常的WEB访问过程来进行的。测试人员一旦在分析阶段发现了问题(例如某些网页表单存在隐患,某些网页交互功能不健全),就要在测试阶段对这些问题进行实际验证,通过构造各种复杂的测试代码(实际上就是构造客户端提交的表单信息或CGI参数),攫取WEB应用返回的响应消息,从中判断问题存在与否。最终,测试人员会对测试结果进行综合分析,汇总之后提交测试报告。
上述过程不难给我们一些启发:WEB安全评估不应该只是简单地以已知漏洞库为核心来进行操作,而应该和WEB应用系统实际的操作内容及功能结合起来,进行更深入更智能的分析。实际上,就是把人工测试的过程自动化。
基于以上 需求,新型实用的WEB应用安全评估系统具有以下特点:
能够遍历整个WEB系统的拓扑结构,从中找到所有可浏览和可交互的页面 ;
能够对所有可浏览页面进行内容检索和分析,从中找到所有与客户端/服务器交互相关的动态内容(例如表单);
能够自动构造各种类型的“异常”提交参数,模拟大多数普遍存在的WEB攻击手段,探测各种已知漏洞和未知漏洞;
能够对响应消息进行内容分析,结合状态码,判断测试结果;
数据库的设计将不仅仅是一个保存已知漏洞特征的漏洞库,而是结合了普遍攻击手段描述内容的专家库,这种专家库可以方便地进行扩充;
基于 WINDOWS的操作界面,,迎合用户操作习惯。
总的来说,这种新型的WEB应用安全评估系统应该是一个应用级的、内容分析的专家系统,它把 手工测试过程中的专家经验嵌入到 自动测试的工具当中,使得常规的静态WEB漏洞扫描演变成为动态可变的全方位的WEB应用系统安全评估。