Web安全测试用例设计研究.docx

Web安全测试用例设计研究 摘要：Web应用软件的使用日益广泛，为了保证软件的安全性，Web安全测试必不可少，而设计全面、有效的安全测试用例则是关键。该文对Web安全漏洞进行了分类，研究了Web安全测试内容，阐述了安全测试用例设计原则。 　　关键词：Web应用软件；安全测试；用例设计 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）06-0069-02 　　1 概述 　　随着电子商务和互联网的广泛应用，Web应用软件被越来越广泛的使用。除了传统的应用如电子邮件、新闻网站等，目前Web应用软件也被越来越多的关键性任务使用，例如互联网证券、互联网银行、网络购物等涉及金钱交易的应用，以及政府部门的电子政务等业务通过互联网来开展等。上述关键性的应用对软件安全的要求越来越高，假如由于软件的不安全造成系统被破坏或信息被泄露，将会给国家、集体甚至个人带来巨大的损失。所以，确保Web应用软件的安全是非常重要的，设计全面、有效的安全测试用例则是重中之重。 　　2常见Web安全问题 　　研究Web应用软件的安全性测试技术，首先应对已知的应用软件安全问题进行研究，了解各种漏洞产生的原因、触发的条件、造成的后果，抽象出各类漏洞的特征，进行科学的分类，才能有效指导安全性测试工作，保障其科学性、高效性和针对性。OWASP（The Open Web Application Security Project）是一个致力于web应用安全的国际组织，OWASP分析实际应用中经常出现的安全漏洞，并对各类漏洞进行总结描述，发布每年度的最危险的十大漏洞，能够很好地反映Web安全所面临的威胁和这些威胁的发展趋势，被众多权威性机构（如美国国防部、国际信用卡数据安全技术标准、美国联邦贸易委员会等）列为应用程序安全规范。根据OWASP提出的Web应用安全漏洞数据分布来看，Web应用程序面临的安全形势依然严峻，常见的安全问题包括： 　　1）注入式攻击。例如SQL、OS以及LDAP注入，发生在不受信任的数据作为一条指令或是查询要求的一部分被发往解释程序之时。攻击者所植入的恶意数据可以骗过解释程序，导致该指令或查询要求在无意中被执行。 　　2）跨站点脚本（简称XSS） 。每当一个应用程序携带了不受信任的数据并将其发送至页面浏览器而又未经过相关验证及转换解析时，XSS类漏洞就会蠢蠢欲动。XSS允许攻击者在受害者的浏览器中执行脚本，这会导致用户的会话遭受劫持、网站受到破坏或者是将用户的访问目标重新定向至某些恶意网站。 　　3）无效的认证及会话管理功能。应用程序的相关认证及会话管理功能在执行过程中常常发生各种问题，导致攻击者有可能获取到密码、密钥、会话授权或是通过利用其他执行 　　性漏洞来盗取用户身份。 　　4）对不安全对象的直接引用。当开发者公开引用某种对内部执行对象，例如索引系统、一个文档或是数据库关键信息时，就有可能发生这种不利情况。由于缺乏访问控制检查等安全保护措施，攻击者能够利用引用信息对未获授权的数据进行访问。 　　5）伪造的跨站点请求 （简称CSRF）。CSRF类攻击的特点是，强迫受害者的某个已进行登录操作的浏览器向安全保护薄弱的页面应用程序发送一条伪造的HTTP请求，包括受害者会话缓存内容及其他任何自动产生的包含认证信息的内容。这就导致了攻击者可以通过强制受害者浏览器向具有漏洞的应用程序传递请求的方式，使相关的应用程序认定该请求是受害者本人所发出的合理请求。 　　3 Web安全测试内容 　　攻击者攻击网络的手段多种多样，目的在于寻找并利用网络中存在的漏洞。要想实现周密的安全防范，就需要分析攻击者入侵网络的方式。攻击者对网络攻击的方式包括本地攻击、远程攻击和伪远程攻击。他们的目的主要包括：非法访问目标系统，以获取不应有的访问权限；篡改相关数据，修改重要资料；获取所需资料；使用有关资源，发布虚假信息、占用存储空间甚至发动分布式攻击等。 　　攻击者进行Web应用攻击行为的过程包括：首先，发现Web系统或应用程序中已存在的漏洞；然后，根据具体漏洞的类别采取对应的、有效的攻击手段；最后，人工分析攻击结果，获取想要的信息或权限。按照目前常见的攻击手段，应该有针对性的进行测试，主要的测试内容如下： 　　1）漏洞扫描。安全漏洞扫描一般需要借助特定的漏洞扫描器完成，漏洞扫描器其实就是一种能自动检测本地主机或远程端安全性弱点的程序。系统管理员通过漏洞扫描器能及时发现维护的信息系统中存在的安全漏洞，这样在保卫信息系统网络安全过程中可以有的放矢，及时对漏洞进行修补。按照常规标准划分，漏洞扫描一般分为两类，分别为网络漏洞扫描器（Net Scanner）和主机漏洞扫描器（Host Scanner）。网络漏洞扫描器是指通过网络，远程检测目标主机或网络系统的安全漏洞的程序，典型的程序包括ISS Internet Scanner、Satan等。主机漏洞扫描器是指在本地主机或网络系统上运行检测安全漏洞的程序，如著名的COPS、Tiger等软件。 　　2）功能验证。功能验证属于软件测试当中的黑盒测试方法，对涉及软件的安全功能，如权限管理功能、用户管理功能、认证功能、加密功能等进行测试，验证上述功能是否安全有效。进行黑盒测试的目的是为了模拟一个用户可能采取的恶意行为，观察Web应用系统及其配套的安全措施能否真正地起到防护过滤恶意行为的作用。 　　3）网络侦听。实际上，网络侦听是指在数据交互或数据通信过程中对数据进行截取并分析的过程。目前，比较通用的网络侦听技术就是捕获网络数据包，我们通常称为Capture，黑客可以通过该项技术盗取公司或个人有价值的数据，同理，测试人员一样可以利用该项技术测试Web应用软件或系统的安全性。 　　4）模拟攻击测试。模拟攻击测试对于安全测试来说是一种特殊的黑盒测试案例，我们通过模拟攻击的方式来验证信息系统或软件的安全防护能力，在数据处理与数据通信环境中常见的攻击包括冒充、重演、消息篡改、服务拒绝、内部攻击、外部攻击、陷阱门、特洛伊木马等。　4测试用例设计原则 　　一个完整的Web安全测试用例体系设计可以从身份验证、加密、输入验证、敏感数据、配置管理、授权、异常管理、会话管理、参数操作、审核和日志记录、部署与基础结构等几个方面入手。下面将详细描述测试用例设计时需要注意的要点。 　　1）数据加密设计原则。执行数据传输操作需要对某些数据进行信息加密和过滤，比如用户登录密码信息、用户信用卡信息等。此时，其他操作也需要相应进行，如解密发送到客户浏览器或用户电子邮箱、将信息存储到数据库等。目前的加密算法种类越来越多，设计越来越复杂，但数据加密的过程一般是可逆的，意思就是能对数据进行加密，也能对数据进行解密。一般可