Effectiveness of Automated Black-Box Web Application Security Testing at Detecting Vulnerabilities.pdf

1、Web應(yīng)用已經(jīng)在各行各業(yè)扮演了越來(lái)越重要的角色，受到了來(lái)自大量匿名用戶(hù)的訪(fǎng)問(wèn)，這其中也包括惡意用戶(hù)。這種廣泛的應(yīng)用導(dǎo)致 web應(yīng)用程序容易受到各種攻擊，如 SQL注入（C組）和跨站點(diǎn)腳本（XSS）。自動(dòng)化黑盒漏洞測(cè)試是Web安全測(cè)試普遍采用的一種方法。Web應(yīng)用漏洞掃描器是一種用來(lái)檢查 Web程序的安全漏洞的自動(dòng)化黑盒測(cè)試工具。
　　更豐富、更先進(jìn)技術(shù)的出現(xiàn)，如 AJAX（異步 JavaScript和XML），使Web應(yīng)用具有更好

2、的靈敏性，互動(dòng)性和用戶(hù)友好性。這些應(yīng)用程序，通常被稱(chēng)為富互聯(lián)網(wǎng)應(yīng)用（RIA），改進(jìn)了傳統(tǒng)的Web應(yīng)用程序在兩個(gè)方面：第一，他們?cè)黾痈嗟奶幚砟芰?，即在客?hù)端進(jìn)行動(dòng)態(tài)操作。第二，RIA可以啟動(dòng)與服務(wù)器的異步通信。然而同時(shí)這種技術(shù)也引入了新的挑戰(zhàn)。一個(gè)重要的挑戰(zhàn)是很難自動(dòng)抓取這些現(xiàn)代應(yīng)用，不采用爬蟲(chóng)技術(shù)情況下，無(wú)法搜索應(yīng)用程序文本內(nèi)容中的索引以及進(jìn)行自動(dòng)測(cè)試。
　　盡管 Ajax名字上與 XML關(guān)聯(lián)，但通常采用JSON（JavaScr

3、ipt Object Notation）技術(shù)。JSON是一種輕量級(jí)的數(shù)據(jù)交換格式，不僅易于人閱讀和編寫(xiě)，同時(shí)也易于機(jī)器解析和生成。它是基于ECMA-262標(biāo)準(zhǔn)第三版 JavaScript編程語(yǔ)言的一個(gè)子集。JSON是主要用于服務(wù)器和Web應(yīng)用程序之間的數(shù)據(jù)傳輸，作為XML的替代。在檢測(cè) AJAX/ JSON代碼隱藏漏洞過(guò)程中，掃描儀需要執(zhí)行 Ajax代碼以及處理和審查JSON參數(shù)。
　　WAVSs的評(píng)估表明這些工具對(duì)存儲(chǔ)型漏洞（持

4、久性XSS漏洞和二階SQLI）和惡意文件上傳的檢測(cè)能力不足。存儲(chǔ)型漏洞風(fēng)險(xiǎn)性非常高，攻擊代碼一次注入后，每次訪(fǎng)問(wèn)該網(wǎng)頁(yè)都會(huì)執(zhí)行，且很難被自動(dòng)掃描儀檢測(cè)。然而，最先進(jìn)的WAVSs可以檢測(cè)這些漏洞。
　　Web應(yīng)用漏洞掃描器是一種用來(lái)檢查Web程序的安全漏洞的自動(dòng)化黑盒測(cè)試工具。市場(chǎng)上可以找到大量的這種測(cè)試工具，Web應(yīng)用程序開(kāi)發(fā)人員使用它們來(lái)驗(yàn)證其產(chǎn)品的安全性。雖然對(duì)Web漏洞掃描器的漏洞檢測(cè)做了大量的研究，但是很少將技術(shù)，規(guī)范，研

5、究成果這三者有機(jī)結(jié)合起來(lái)，構(gòu)建一個(gè)全面的Web自動(dòng)化黑盒安全測(cè)試。此外，漏洞評(píng)估沒(méi)有考慮到正在興起的Web開(kāi)發(fā)新技術(shù)，如Ajax。
　　本文詳細(xì)介紹了Web應(yīng)用的自動(dòng)化黑盒測(cè)試漏洞研究，并對(duì)5個(gè)安全掃描器在XSS、SQL注入、惡意文件上傳、Ajax請(qǐng)求和JSON數(shù)據(jù)漏洞等方面的檢測(cè)能力進(jìn)行評(píng)估。
　　論文中實(shí)驗(yàn)涵蓋了WAVS評(píng)價(jià)標(biāo)準(zhǔn)，黑盒測(cè)試指南，漏洞掃描儀，漏洞測(cè)試以及檢測(cè)結(jié)果，掃描儀支持的輸入傳遞方法，爬蟲(chóng)和漏洞檢測(cè)的挑

6、戰(zhàn)，這些工具包含的Web應(yīng)用技術(shù)，并提出了提高效率的方法途徑。
　　測(cè)試套件放在一個(gè)真實(shí)的網(wǎng)上商城中運(yùn)行，該應(yīng)用包含了大量的安全漏洞，并且這些漏洞受到攻擊的難易程度不同。漏洞攻擊包括一階和二階的SQL注入、反映型和持久型的XSS，惡意文件上傳，路徑遍歷，會(huì)話(huà)管理，信息泄露。套件中還包括檢測(cè)Ajax請(qǐng)求和JSON數(shù)據(jù)中安全漏洞的測(cè)試用例。
　　本文實(shí)驗(yàn)結(jié)果表明，黑盒漏洞掃描器在反映型XSS、基本的SQL注入，惡意文件上傳等方面

7、的漏洞檢測(cè)取得了滿(mǎn)意效果。然而，掃描儀對(duì)顯式配置的存儲(chǔ)漏洞仍然探測(cè)不到。持久性漏洞檢測(cè)差的主要原因是持續(xù)的攻擊需要兩個(gè)或兩個(gè)以上的步驟完成攻擊。首先，攻擊必須存儲(chǔ)在服務(wù)器上（在一個(gè)數(shù)據(jù)庫(kù)，文件系統(tǒng)，或其他位置）。其次，攻擊代碼可以從服務(wù)器檢索和執(zhí)行。在以上步驟中WAVSs會(huì)出現(xiàn)問(wèn)題，因此不能檢測(cè)這些漏洞。
　　黑盒漏洞掃描器存在多個(gè)方面的缺點(diǎn)，包括客戶(hù)端代碼抓取，攻擊代碼的選擇，服務(wù)器應(yīng)答分析。盡管Ajax和JSON技術(shù)在互聯(lián)網(wǎng)中