基于web的應(yīng)用程序安全測(cè)試技術(shù)new

基于web的應(yīng)用程序安全測(cè)試技術(shù)new

ID:33541334

大?。?67.62 KB

頁(yè)數(shù):7頁(yè)

時(shí)間:2019-02-27

基于web的應(yīng)用程序安全測(cè)試技術(shù)new_第1頁(yè)
基于web的應(yīng)用程序安全測(cè)試技術(shù)new_第2頁(yè)
基于web的應(yīng)用程序安全測(cè)試技術(shù)new_第3頁(yè)
基于web的應(yīng)用程序安全測(cè)試技術(shù)new_第4頁(yè)
基于web的應(yīng)用程序安全測(cè)試技術(shù)new_第5頁(yè)
資源描述:

《基于web的應(yīng)用程序安全測(cè)試技術(shù)new》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。

1、http://www.paper.edu.cn基于WEB的應(yīng)用程序安全測(cè)試技術(shù)董安林,武波西安電子科技大學(xué)軟件工程研究所陜西西安(710071)摘要:隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,Web已經(jīng)對(duì)商業(yè)、教育、政府和娛樂(lè)及我們的工作和生活產(chǎn)生了深遠(yuǎn)影響,基于Web的應(yīng)用程序已經(jīng)有了很大的市場(chǎng)。但Web應(yīng)用程序的安全性一直受到程序開(kāi)發(fā)商和用戶(hù)的關(guān)注,本文簡(jiǎn)要介紹了Web應(yīng)用程序安全測(cè)試中應(yīng)注意的幾個(gè)方面及測(cè)試技術(shù),從用戶(hù)登錄測(cè)試、緩存溢出測(cè)試、數(shù)據(jù)安全測(cè)試、客戶(hù)端測(cè)試等方面進(jìn)行了詳細(xì)的分析。關(guān)鍵詞:Web應(yīng)用軟件安全測(cè)試基于Web的系統(tǒng)測(cè)試與傳統(tǒng)的軟件測(cè)試既有相同之處,也有不同

2、的地方,對(duì)軟件測(cè)試提出了新的挑戰(zhàn)。基于Web的系統(tǒng)測(cè)試不但需要檢查和驗(yàn)證是否按照設(shè)計(jì)的要求運(yùn)行,而且還要評(píng)價(jià)系統(tǒng)在不同用戶(hù)的終端(瀏覽器)的顯示是否合適。重要的是,還要從最終用戶(hù)的角度進(jìn)行安全性和可用性測(cè)試。1前言軟件開(kāi)發(fā)過(guò)程各階段都可能產(chǎn)生錯(cuò)誤。據(jù)國(guó)外對(duì)一些大型軟件系統(tǒng)的統(tǒng)計(jì),需求分析與設(shè)計(jì)階段產(chǎn)生的錯(cuò)誤占64%,編碼錯(cuò)誤占36%。因此,測(cè)試工作越早進(jìn)行,發(fā)現(xiàn)和解決錯(cuò)誤的代價(jià)越小,風(fēng)險(xiǎn)越小。根據(jù)這個(gè)觀點(diǎn),SystemeEvolutif公司提出了“W-模型”,如圖1所示?!埃祝P汀庇蓛蓚€(gè)“V”重疊而成。其中一個(gè)“V”表示開(kāi)發(fā)過(guò)程,另一個(gè)“V”表示測(cè)試過(guò)程。軟件測(cè)試

3、的各項(xiàng)測(cè)試活動(dòng)與開(kāi)發(fā)過(guò)程的各個(gè)階段相對(duì)應(yīng)。同樣安全性測(cè)試也貫穿于軟件開(kāi)發(fā)的全過(guò)程。圖1軟件測(cè)試的W模型在圖1所示的模型中,應(yīng)用系統(tǒng)開(kāi)發(fā)人員一般關(guān)注于提供正常工作的應(yīng)用軟件,而測(cè)試人員應(yīng)該從一個(gè)用戶(hù)的角度去考察,看一看是否能打破它。所以,Web應(yīng)用系統(tǒng)安全性測(cè)試的目標(biāo)應(yīng)該是:核實(shí)操作者只能訪問(wèn)其所屬用戶(hù)類(lèi)型已被授權(quán)訪問(wèn)的那些功能或數(shù)據(jù),[1][2]同時(shí)檢測(cè)用戶(hù)操作對(duì)應(yīng)用系統(tǒng)的危害性。2web應(yīng)用程序的安全隱患目前基于web的應(yīng)用系統(tǒng),大都采用三層體系結(jié)構(gòu)。如圖2所示。-1-http://www.paper.edu.cn圖2web應(yīng)用系統(tǒng)三層體系結(jié)構(gòu)三層體系結(jié)構(gòu)中,將整

4、個(gè)應(yīng)用系統(tǒng)分為了表示層、中間層和數(shù)據(jù)層。Web應(yīng)用系統(tǒng)中,每層的各個(gè)功能模塊都有其自身的安全弱點(diǎn),在程序運(yùn)行中,主要有四個(gè)方面的安全隱患[2]:客戶(hù)端(web瀏覽器、組件)服務(wù)器(web應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等)網(wǎng)絡(luò)(web應(yīng)用程序運(yùn)行的網(wǎng)絡(luò)環(huán)境)事務(wù)(web中各種應(yīng)用)通常,web應(yīng)用程序運(yùn)行的網(wǎng)絡(luò)環(huán)境的安全性由IT部門(mén)負(fù)責(zé),包括防火墻測(cè)試、數(shù)據(jù)的轉(zhuǎn)發(fā)、網(wǎng)絡(luò)流量的監(jiān)控、病毒防范以及服務(wù)器入侵檢測(cè)等工作。所以web應(yīng)用程序的安全測(cè)試更多的關(guān)注其它三個(gè)方面。對(duì)于客戶(hù)端的安全隱患,一般會(huì)有以下有幾種:java腳本、cookie、客戶(hù)端設(shè)置等。服務(wù)器端的安全隱患主要是拒

5、絕服務(wù)攻擊,可以通過(guò)壓力測(cè)試、緩存溢出測(cè)試等方法進(jìn)行測(cè)試;當(dāng)然服務(wù)器端包括整個(gè)web應(yīng)用程序中,最根本的安全隱患就是軟件的bug,雖然應(yīng)用程序無(wú)法完全避免bug,但我們可以通過(guò)測(cè)試、調(diào)試等手段使bug的安全隱患減少到最小。事務(wù)中的安全隱患很多,常見(jiàn)的如電子欺騙,偽裝成合法用戶(hù)來(lái)竊取信息,一般通過(guò)用戶(hù)登錄、身份驗(yàn)證等方法進(jìn)行測(cè)試;還有緩存區(qū)溢出,臟數(shù)據(jù)等方面的安全隱患。3Web應(yīng)用程序安全測(cè)試3.1用戶(hù)登錄測(cè)試3.1.1用戶(hù)名與密碼測(cè)試在軟件研發(fā)中,為方便調(diào)試程序,開(kāi)發(fā)人員通常在訪問(wèn)權(quán)限中,會(huì)主動(dòng)建立一個(gè)超級(jí)用戶(hù)賬號(hào)來(lái)完成軟件的總體設(shè)計(jì)與研發(fā)。但在安全設(shè)計(jì)中,有一個(gè)很

6、重要的原則是給用戶(hù)[3]盡可能少的訪問(wèn)權(quán)限以便他們可以執(zhí)行與其身份相對(duì)應(yīng)的操作,但不能執(zhí)行非法操作。如果有超級(jí)用戶(hù)的存在,最終用戶(hù)就有可能利用此賬號(hào)進(jìn)行創(chuàng)建、修改、刪除等一系列對(duì)數(shù)據(jù)表的操作,也可利用SQL語(yǔ)句改變URL,從而進(jìn)行許多惡意的操作。現(xiàn)在的Web應(yīng)用系統(tǒng)基本采用先注冊(cè),后登錄的方式。對(duì)于用戶(hù)登錄和賬戶(hù)密碼,可以從以下幾個(gè)方面進(jìn)行安全測(cè)試:z測(cè)試有效和無(wú)效的用戶(hù)名和密碼,測(cè)試是否大小寫(xiě)敏感,是否有最大字符數(shù)的限制規(guī)則等。z測(cè)試重試次數(shù)的限制,如果登錄失敗的次數(shù)超過(guò)允許值,應(yīng)用程序?qū)?huì)做出何種反應(yīng)-2-http://www.paper.edu.cn(譬如拒絕

7、此IP地址在短時(shí)間內(nèi)的登錄)。z測(cè)試是否可以利用歷史登錄信息或以前的URL來(lái)繞開(kāi)登錄程序。z測(cè)試執(zhí)行添加、刪除、修改等動(dòng)作中是否需要登錄操作,退出系統(tǒng)之后的操作是否仍可繼續(xù)等。對(duì)于用戶(hù)的認(rèn)證,可以從以下幾個(gè)方面進(jìn)行安全測(cè)試:z測(cè)試是否所有的合法用法都可以訪問(wèn)程序,非法用戶(hù)都不能訪問(wèn)程序,如果非法用戶(hù)企圖登錄,其難易程序有多大。z測(cè)試用戶(hù)密碼是否符合指定要求(字符、長(zhǎng)度),如果不符合,對(duì)有什么影響,新用戶(hù)自己修改密碼后,創(chuàng)建時(shí)分配的密碼是否會(huì)失效。z測(cè)試用戶(hù)賬戶(hù)過(guò)期后,是否完全、正確的刪除其信息或使其失效。3.1.2手動(dòng)修改URL參數(shù)的測(cè)試我們經(jīng)常使用SQL調(diào)用來(lái)

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫(huà)的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無(wú)此問(wèn)題,請(qǐng)放心下載。
2. 本文檔由用戶(hù)上傳,版權(quán)歸屬用戶(hù),天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無(wú)法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶(hù)請(qǐng)聯(lián)系客服處理。