Web安全性測試

一個完整的Web安全體系MILY: 宋體; mso-bidi-font-family: 宋體">測試可以從部署與基礎結構，輸入驗證，身份驗證，授權，配置管理，敏感數據，會話管理，加密，參數操作，異常管理，審核和日志記錄等幾個方面入手

Web安全性測試
數據加密：某些數據需要進行信息加密和過濾后才能進行數據傳輸，例如用戶信用卡信息、用戶登陸密碼信息等。此時需要進行相應的其他操作，如存儲到數據庫、解密發送要用戶電子郵箱或者客戶瀏覽器。目前的加密算法越來越多，越來越復雜，但一般數據加密的過程時可逆的，也就是說能進行加密，同時需要能進行解密！

登錄：一般的應用站點都會使用登錄或者注冊后使用的方式，因此，必須對用戶名和匹配的密碼進行校驗，以阻止非法用戶登錄。在進行登陸測試的時候，需要考慮輸入的 密碼是否對大小寫敏感、是否有長度和條件限制，最多可以嘗試多少次登錄，哪些頁面或者文件 需要登錄后才能訪問/下載等。

超時限制：WEB應用系統需要有是否超時的限制，當用戶長時間不作任何操作的時候，需要重新登錄才能使用其功能。

SSL：越來越多的站點使用SSL安全協議進行傳送。SSL是Security Socket Lauer(安全套接字協議層)的縮寫，是由Netscape首先發表的網絡數據安全傳輸協議。SSL是利用公開密鑰/私有密鑰的加密技術。（RSA），在位于HTTP層和TCP層之間，建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎上的，任何用戶都可以獲得公共密鑰來加密數據，但解密數據必須要通過相應的私人密鑰。進入一個SSL站點后，可以看到瀏覽器出現警告信息，然后地址欄的http變成https，在做SSL測試的時候，需要確認這些特點，以及是否有時間鏈接限制等一系列相關的安全保護。

服務器腳本語言：腳本語言是最常見的安全隱患，如有些腳本語言允許訪問根目錄，經驗豐富的黑客可以通過這些缺陷來攻擊和使用服務器系統，因此，腳本語言安全性在測試過程中也必須被考慮到。

日志文件：在服務器上，要驗證服務器的日志是否正常工作，例如CPU的占用率是否很高，是否有例外的進程占用，所以的事務處理是否被記錄等。

目錄：WEB的目錄安全是不容忽視的一個因素。如果WEB程序或WEB服務器的處理不適當，通過簡單的URL替換和推測，會將整個WEB目錄完全暴露給用戶，這樣會造成很大的風險和安全性隱患。我們可以使用一定的解決方式，如在每個目錄訪問時有index.htm,或者嚴格設定WEB服務器的目錄訪問權限，將這種隱患降低到最小程度。

WEB應用安全的增強只有兩種解決途徑，“黑箱子”安全測試和“白盒子”安全測試。
所謂“黑箱子”安全測試方法是指目標測試網站已經正常投入使用的情況下，采用不影響業務正常運轉的技術手段進行遠程測試，通過模擬黑客的慣用入侵伎倆和手法，測試目標WEB系統在真實的不法攻擊壓力下的安全性。
所謂“白盒子”安全測試方法是指在目標網站還處于開發階段的時侯，進行基于安全編碼規則的源代碼級別測試。這種測試方法所需要的代價很高，通常需要精通WEB系統安全的安全編碼專家帶領程序員對整個系統源代碼進行閱讀和糾錯，增加安全代碼以使得“黑箱子”安全測試得到安全的結論。

所以，確保網上銀行WEB系統應用程序的安全不是一件簡單的事，而不幸的是對WEB應用程序的攻擊是非常容易實施的。從信息安全的層面，黑客針對WEB的攻擊可以達到從竊取產品和敏感信息到使整個WEB站點甚至后臺核心數據庫服務器完全癱瘓。
一個黑客通常都會花上幾個小時來熟悉他企圖突破的WEB應用程序，他會象編制這一套程序的程序員那樣思考程序的設計和編碼，然后找出編程時留下的漏洞，然后通過瀏覽器惡意地與應用程序以及數據庫進行交互，造成或大或小的損害。要防止這些問題，公司必須預先找出網站的弱點然后關閉有可能被黑客可利用的縫隙。

國外權威的WEB應用安全著作
“《Web Hacking: Attacks and Defense》
by Stuart McClure, Saumil Shah, Shreeraj Shah
《Hacking Exposed (TM) Web Applications 》
by Joel Scambray, Mike Shema“

針對電子商務和網上交易WEB應用平臺的安全隱患分類如下：
APPLICATION BUFFER OVERFLOW 應用層緩沖區溢出（壓力測試）
COOKIE POISONING cookie安全使用狀況評估
CROSS-SITE SCRIPTING 跨站腳本攻擊風險評估
HIDDEN MANIPULATION 頁面隱藏參數域篡改風險評估
STEALTH COMMANDING 系統隱蔽指令執行風險評估
3RD PARTY MISCONFIGURATION 第三方誤配置安全隱患
KNOWN VULNERABILITIES 各類型已知安全漏洞
PARAMETER TAMPERING URL參數篡改攻擊風險評估
BACKDOOR & DEBUG OPTIONS 后門程序和調試選項遺留隱患
FORCEFUL BROWSING WEB內容強力瀏覽問題

一個完整的WEB應用是頗為復雜的，它提供電子商務系統的商務邏輯，使得用戶可以與WEB站點進行交互操作，其交易活動可以和后臺數據庫系統接口。WEB應用通常包括下面幾個關鍵組件。
用戶接口代碼：這是WEB應用的表示層，它創建了站點的可視界面，是聯系客戶端以及WEB服務 器的接口部分，通常采用HTML、Java、JavaScript、ActiveX、VB以及其他第三方編寫方式。
WEB服務器軟件：WEB服務器用來支持用戶瀏覽器和WEB應用之間的正常通信，它負責處理HTTP請求/響應消息、管理用戶會話。幾乎所有的WEB站點都采用第三方廠商的WEB服務器產品，例如IIS、iPlanet、Apache等。
前端系統：前端系統直接同用戶接口代碼、操作系統、后臺系統進行交互，客戶端通過用戶接口代碼傳遞的參數將被前端系統處理，最有代表性的例子就是各種CGI、JSP和ASP代碼。
后臺系統：后臺系統是WEB應用真正的驅動部分，它負責處理真正的商務邏輯，直接與數據庫系統接口。后臺系統通常都是客戶定制開發的。
數據庫系統：WEB站點通常會采用第三方數據庫軟件，包括MySQL、Oracle、DB2等。
一個如此復雜的WEB系統，其安全保護機制也應該是多層次全方位的，這是因為構成WEB系統的每一個環節都可能存在脆弱性并由此引入風險，所以每個環節都需要相應的安全控制，例如在WEB應用的用戶接口代碼中對一些違犯語法規則的數據進行過濾，在前端系統和后臺系統中對異常內容進行校驗。不過，我們也看到，盡管多數WEB應用都采用了這樣那樣的安全控制措施，但由于其本身構成的復雜多樣，出現某些漏洞也在所難免。
怎樣最大程度發現并解決WEB應用系統的漏洞呢？一種方法就是在軟件編寫過程中進行測試，這也是軟件開發周期中一項重要的工作。還有一點非常重要，那就是在WEB應用系統配置完畢正式啟用之前對它進行在線評估，通常這是通過遠程的安全掃描來實現的。
但是，我們看到，傳統的安全掃描技術是有許多缺陷的，一個是不能對未知漏洞進行檢測，另一個就是其判斷依據過于簡單（只依靠HTTP響應消息中的狀態碼來判斷），經常造成誤報和漏報，極大地影響了WEB系統安全評估的可靠性和準確性。
那么，怎樣才能解決這一問題呢？
為了進行有效的WEB安全性審計，除了用傳統的掃描器進行初步檢測之外，更多時候，還得依靠技術高超的安全專家，手工檢測分析目標系統的安全性。手工分析的方法通常包括三個階段：分析、測試和報告。在分析階段，測試人員需要對整個WEB應用系統的框架結構深入了解，對每一處牽涉到客戶端數據處理的網頁內容進行分析，并對與數據庫操作相關的部分進行檢查，當然，所有的分析工作，都是以一個普通用戶的身份，通過正常的WEB訪問過程來進行的。測試人員一旦在分析階段發現了問題（例如某些網頁表單存在隱患，某些網頁交互功能不健全），就要在測試階段對這些問題進行實際驗證，通過構造各種復雜的測試代碼（實際上就是構造客戶端提交的表單信息或CGI參數），攫取WEB應用返回的響應消息，從中判斷問題存在與否。最終，測試人員會對測試結果進行綜合分析，匯總之后提交測試報告。
上述過程不難給我們一些啟發：WEB安全評估不應該只是簡單地以已知漏洞庫為核心來進行操作，而應該和WEB應用系統實際的操作內容及功能結合起來，進行更深入更智能的分析。實際上，就是把人工測試的過程自動化。
基于以上需求，新型實用的WEB應用安全評估系統具有以下特點：
能夠遍歷整個WEB系統的拓撲結構，從中找到所有可瀏覽和可交互的頁面 ；
能夠對所有可瀏覽頁面進行內容檢索和分析，從中找到所有與客戶端/服務器交互相關的動態內容（例如表單）；
能夠自動構造各種類型的“異常”提交參數，模擬大多數普遍存在的WEB攻擊手段，探測各種已知漏洞和未知漏洞；
能夠對響應消息進行內容分析，結合狀態碼，判斷測試結果；
數據庫的設計將不僅僅是一個保存已知漏洞特征的漏洞庫，而是結合了普遍攻擊手段描述內容的專家庫，這種專家庫可以方便地進行擴充；
基于WINDOWS的操作界面，，迎合用戶操作習慣。

總的來說，這種新型的WEB應用安全評估系統應該是一個應用級的、內容分析的專家系統，它把手工測試過程中的專家經驗嵌入到自動測試的工具當中，使得常規的靜態WEB漏洞掃描演變成為動態可變的全方位的WEB應用系統安全評估。