版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、Web應(yīng)用已經(jīng)在各行各業(yè)扮演了越來越重要的角色,受到了來自大量匿名用戶的訪問,這其中也包括惡意用戶。這種廣泛的應(yīng)用導(dǎo)致 web應(yīng)用程序容易受到各種攻擊,如 SQL注入(C組)和跨站點腳本(XSS)。自動化黑盒漏洞測試是Web安全測試普遍采用的一種方法。Web應(yīng)用漏洞掃描器是一種用來檢查 Web程序的安全漏洞的自動化黑盒測試工具。
更豐富、更先進(jìn)技術(shù)的出現(xiàn),如 AJAX(異步 JavaScript和XML),使Web應(yīng)用具有更好
2、的靈敏性,互動性和用戶友好性。這些應(yīng)用程序,通常被稱為富互聯(lián)網(wǎng)應(yīng)用(RIA),改進(jìn)了傳統(tǒng)的Web應(yīng)用程序在兩個方面:第一,他們增加更多的處理能力,即在客戶端進(jìn)行動態(tài)操作。第二,RIA可以啟動與服務(wù)器的異步通信。然而同時這種技術(shù)也引入了新的挑戰(zhàn)。一個重要的挑戰(zhàn)是很難自動抓取這些現(xiàn)代應(yīng)用,不采用爬蟲技術(shù)情況下,無法搜索應(yīng)用程序文本內(nèi)容中的索引以及進(jìn)行自動測試。
盡管 Ajax名字上與 XML關(guān)聯(lián),但通常采用JSON(JavaScr
3、ipt Object Notation)技術(shù)。JSON是一種輕量級的數(shù)據(jù)交換格式,不僅易于人閱讀和編寫,同時也易于機器解析和生成。它是基于ECMA-262標(biāo)準(zhǔn)第三版 JavaScript編程語言的一個子集。JSON是主要用于服務(wù)器和Web應(yīng)用程序之間的數(shù)據(jù)傳輸,作為XML的替代。在檢測 AJAX/ JSON代碼隱藏漏洞過程中,掃描儀需要執(zhí)行 Ajax代碼以及處理和審查JSON參數(shù)。
WAVSs的評估表明這些工具對存儲型漏洞(持
4、久性XSS漏洞和二階SQLI)和惡意文件上傳的檢測能力不足。存儲型漏洞風(fēng)險性非常高,攻擊代碼一次注入后,每次訪問該網(wǎng)頁都會執(zhí)行,且很難被自動掃描儀檢測。然而,最先進(jìn)的WAVSs可以檢測這些漏洞。
Web應(yīng)用漏洞掃描器是一種用來檢查Web程序的安全漏洞的自動化黑盒測試工具。市場上可以找到大量的這種測試工具,Web應(yīng)用程序開發(fā)人員使用它們來驗證其產(chǎn)品的安全性。雖然對Web漏洞掃描器的漏洞檢測做了大量的研究,但是很少將技術(shù),規(guī)范,研
5、究成果這三者有機結(jié)合起來,構(gòu)建一個全面的Web自動化黑盒安全測試。此外,漏洞評估沒有考慮到正在興起的Web開發(fā)新技術(shù),如Ajax。
本文詳細(xì)介紹了Web應(yīng)用的自動化黑盒測試漏洞研究,并對5個安全掃描器在XSS、SQL注入、惡意文件上傳、Ajax請求和JSON數(shù)據(jù)漏洞等方面的檢測能力進(jìn)行評估。
論文中實驗涵蓋了WAVS評價標(biāo)準(zhǔn),黑盒測試指南,漏洞掃描儀,漏洞測試以及檢測結(jié)果,掃描儀支持的輸入傳遞方法,爬蟲和漏洞檢測的挑
6、戰(zhàn),這些工具包含的Web應(yīng)用技術(shù),并提出了提高效率的方法途徑。
測試套件放在一個真實的網(wǎng)上商城中運行,該應(yīng)用包含了大量的安全漏洞,并且這些漏洞受到攻擊的難易程度不同。漏洞攻擊包括一階和二階的SQL注入、反映型和持久型的XSS,惡意文件上傳,路徑遍歷,會話管理,信息泄露。套件中還包括檢測Ajax請求和JSON數(shù)據(jù)中安全漏洞的測試用例。
本文實驗結(jié)果表明,黑盒漏洞掃描器在反映型XSS、基本的SQL注入,惡意文件上傳等方面
7、的漏洞檢測取得了滿意效果。然而,掃描儀對顯式配置的存儲漏洞仍然探測不到。持久性漏洞檢測差的主要原因是持續(xù)的攻擊需要兩個或兩個以上的步驟完成攻擊。首先,攻擊必須存儲在服務(wù)器上(在一個數(shù)據(jù)庫,文件系統(tǒng),或其他位置)。其次,攻擊代碼可以從服務(wù)器檢索和執(zhí)行。在以上步驟中WAVSs會出現(xiàn)問題,因此不能檢測這些漏洞。
黑盒漏洞掃描器存在多個方面的缺點,包括客戶端代碼抓取,攻擊代碼的選擇,服務(wù)器應(yīng)答分析。盡管Ajax和JSON技術(shù)在互聯(lián)網(wǎng)中
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- Development of an automated testing system.pdf
- Development of an automated testing system.pdf
- Development of an automated testing system.pdf
- Development of an automated testing system.pdf
- Development of an automated testing system.pdf
- Development of an automated testing system.pdf
- investigation on performance testing and evaluation of prewebd a. net technique for implementing web application
- Development of an automated testing system.docx
- Development of an automated testing system.docx
- Development of an automated testing system.docx
- Performance Testing,Analysis and Application of Web Content Management Systems Joomla!vs OpenCms.pdf
- Investigation on performance testing and evaluation of PReWebD a. NET technique for implementing web application.pdf
- Investigation on performance testing and evaluation of PReWebD a. NET technique for implementing web application.pdf
- the application of support vector machine in network security evaluation
- The Application and Effectiveness of Lexical Approach on CET 4 Writing.pdf
- footwear testing application form 鞋類測試申請表
- 畢業(yè)論文research and application on model checking of security protocol
- 2018版-cyber-physical systems architecture, security and application
- application progress of nondestructive testing technique of hydraulic concrete based on steady rayle
- Trust-Based Security Management for Web Services.pdf
評論
0/150
提交評論