Applying Web Server to Analyze the Limitations of Web Application Vulnerability Scanners.pdf_第1頁
已閱讀1頁,還剩160頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、Web應(yīng)用程序漏洞掃描器是一個由網(wǎng)管人員和安全專家用于預(yù)防和檢測漏洞的工具,常見漏洞如SQL注入、跨站點腳本,和跨站點請求偽造?,F(xiàn)在的大量網(wǎng)絡(luò)攻擊都可以部分的歸因于這一事實,即網(wǎng)站管理員沒有使用web應(yīng)用程序漏洞掃描器去掃描網(wǎng)站中的漏洞。由于缺少正確的安全防范,網(wǎng)絡(luò)攻擊威脅已成為一個真正的并且不斷發(fā)展的危害。因為web應(yīng)用程序的漏洞,每年有成千上萬的企業(yè)和個人數(shù)據(jù)被破壞和丟失。本文提出了一種方法,該方法可以分析網(wǎng)站的漏洞,并對那些極受歡

2、迎的商業(yè)和自由/開放源碼的web應(yīng)用程序漏洞掃描器的局限性進行研究,通過使用定制的安全與不安全兩個版本的web應(yīng)用程序作為實驗對象。本文實現(xiàn)了一項重大的改進,即使用上述方法讓web應(yīng)用程序掃描技術(shù)減少誤判(假陽率)和遺漏(假陰率)的漏洞結(jié)果的數(shù)目。
  這些掃描工具已經(jīng)被發(fā)現(xiàn)具有缺陷和局限性。研究表明,web應(yīng)用程序漏洞掃描器并不能始終檢測到漏洞和攻擊媒介,也無法給予有效措施來保障web應(yīng)用程序的安全。這些工具將漏洞,諸如SQL注

3、入、跨站點腳本(XSS)和跨站點請求偽造(CSRF),插入到準(zhǔn)備好的web應(yīng)用程序中。本文得到的實驗結(jié)果表明,使用我們提出的原型可以保證許多流行的開源web應(yīng)用程序的安全,并且不會影響這些程序的行為。第一個web應(yīng)用程序是由作者自己開發(fā)和設(shè)計的,因此,該工具可以生成一個web應(yīng)用程序的有漏洞版本。該工具將跨站點腳本(XSS)和跨站點請求偽造(CSRF)漏洞注入到該web應(yīng)用程序中。這個工具的目的是生成一些能夠生成用以訓(xùn)練滲透測試人員報告

4、的web應(yīng)用程序。此外,該工具可以用來注入一些漏洞,這些漏洞無法被目前的免費web應(yīng)用程序漏洞掃描器檢測到,但可以被滲透測試人員檢測到。本文得出的實驗結(jié)果證明,使用本文提出的原型可以保障大量的流行的開源web應(yīng)用程序的安全,同時不會對這些程序的行為造成消極影響。
  Web應(yīng)用程序漏洞,例如跨站點腳本、跨站點請求偽造和SQL注入,這些是當(dāng)今互聯(lián)網(wǎng)最為緊迫的安全問題。事實上,web應(yīng)用程序漏洞是廣泛存在的,占了常見的漏洞和隱患數(shù)據(jù)庫

5、[1]漏洞報告中的很大一部分;它們經(jīng)常成為自動攻擊的目標(biāo);而且,如果成功利用此漏洞,會進行受到嚴(yán)重的攻擊,如數(shù)據(jù)外泄和隱蔽強迫下載的攻擊。在這項研究中,這種情況下的web應(yīng)用程序的安全測試顯得至關(guān)重要。
  本文討論的三類攻擊是特別常見且極具破壞力的安全漏洞。在SQL注入(SQLI)中,攻擊者通過利用從用戶到數(shù)據(jù)庫的驗證不充分的數(shù)據(jù)流執(zhí)行惡意數(shù)據(jù)庫語句。在跨站點腳本(XSS)中,攻擊者利用驗證不充分的輸出到HTML的數(shù)據(jù)流,在受害

6、者的計算機上執(zhí)行惡意代碼;同時,跨站點請求偽造(CSRF)允許攻擊者在用戶不知情的情況下,執(zhí)行未經(jīng)授權(quán)的語句。一個攻擊請求利用瀏覽器為每個請求附加有效會話信息的事實。因此,首先在瀏覽器尋找攻擊的跡象,并采取適當(dāng)?shù)男袆?。這些漏洞的目標(biāo)雖然各不相同,一個漏洞運行不受信任的代碼,而另一個漏洞可能用于劫持身份驗證,但當(dāng)這些漏洞攻擊結(jié)合,其聯(lián)合起來的危害是非常巨大的。
  事實上,我已經(jīng)創(chuàng)造了一個用于識別SQLI,XSRF和XSS漏洞的新的

7、技術(shù),通過在虛擬仿真環(huán)境下實現(xiàn)了一些web安全漏洞工具,用以發(fā)現(xiàn)web應(yīng)用程序中攻擊者精心設(shè)計的代碼,其中這些web應(yīng)用程序是我為真實生活場景開發(fā)的。該技術(shù)可應(yīng)用于未修改的現(xiàn)有代碼中,并能創(chuàng)建有暴露漏洞的具體輸入,該技術(shù)運行于軟件被部署之前,對發(fā)布的軟件而言沒有額外開銷,它通過分析應(yīng)用程序內(nèi)部的代碼來發(fā)現(xiàn)易受攻擊的代碼。作為我的技術(shù)實現(xiàn),我在PHP/MySQL應(yīng)用程序上部署幾個安全工具,這些自動化工具可用于發(fā)現(xiàn)SQLI、XSRF和XSS

8、攻擊。Web應(yīng)用程序掃描器事實上在本文中用于漏洞的發(fā)現(xiàn)(在實際情況中,web應(yīng)用程序掃描器通常被定位為“點擊”滲透測試的工具)。在過去的幾年中,他們已成為了一些標(biāo)準(zhǔn)中一項要求,最明顯的就是在支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)中。然而,web應(yīng)用程序掃描器有局限性。
  本論文很專業(yè)的應(yīng)用web服務(wù)器測試平臺來分析web應(yīng)用程序漏洞掃描器在虛擬的仿真環(huán)境中的局限性。此外,本論文的每一章使用可靠的等效目標(biāo)的子標(biāo)題來包含具體描述主題的結(jié)構(gòu)性啟發(fā)。按

9、時間順序,這篇高度專業(yè)的安全相關(guān)的論文提供如下所需的結(jié)構(gòu),以確保在其內(nèi)容的完整性。本文第一章的概述更加廣泛,包括了背景介紹、研究動機、問題陳述、文中常用術(shù)語的定義、全文組織、主要貢獻和總結(jié)。第二章包含3個重要的文獻綜述小節(jié)(2.1,2.2,2.3),強調(diào)了用在這個研究中的web漏洞攻擊基本上都是生動具體的,并且在工程實例中有經(jīng)常被提到的跡象。因此,通過揭示在正常的工作環(huán)境中開發(fā)的具體因素,2.1節(jié)的SQL注入(SQLI)攻擊方案會在不同

10、的部分被闡述。在仿真環(huán)境中,我專門開發(fā)了一個獨立網(wǎng)站,故意在源代碼中生成了一些漏洞,用于找出SQL注入式攻擊。導(dǎo)致了另一個web相關(guān)應(yīng)用程序產(chǎn)生預(yù)防方法,均以書面形式和編程方式實現(xiàn)。兩個web相關(guān)的系統(tǒng)出于安全和非安全的目的被建創(chuàng)建。2.2節(jié)對跨站點請求偽造(XSRF)攻擊的分析和預(yù)防技術(shù)進行了解釋,跨站請求偽造漏洞和保護機制是最容易被忽視的事實,保護機制是關(guān)于對任何web應(yīng)用程序保護的最高行動指南。2.3節(jié)闡明跨站點腳本(XSS)攻擊

11、及在開發(fā)中的促成因素。該節(jié)用許多例子來展示,用單個的解釋來描述在不同的維度中跨站點腳本(CSS)攻擊的類型。同時還提出了預(yù)防機制,以減少攻擊的復(fù)發(fā)。第三章(3)包含了研究方法、相關(guān)研究、研究設(shè)計和數(shù)據(jù)需求。這一節(jié)還特別闡述web應(yīng)用程序漏洞掃描器的商業(yè)版和試用版以及應(yīng)用于學(xué)術(shù)界的專有web應(yīng)用程序漏洞掃描器。在這一部分中,利用本文研究中使用的圖形量化的掃描器,可以定性的比較掃描器檢測功能。第四章描述了性能結(jié)果和分析,特別是達了web漏洞

12、掃描器的結(jié)果量化分析統(tǒng)計數(shù)據(jù)的細節(jié)。對于突出的漏洞(SQL注入、跨站腳本和跨站請求偽造),掃描器性能的局限性被嚴(yán)格地表達,以求得到最有意義的結(jié)果,并且還進行了全面的分析。第五章最后包括了結(jié)論和未來的工作,以及引用、致謝、縮寫表和附錄。
  此外,為了讓實驗?zāi)軌颢@得具有實際意義的結(jié)果,自變量、因變量和控制變量都需要進行適當(dāng)?shù)倪x擇。在這個測試方法中,web服務(wù)器相關(guān)技術(shù)保持不變(控制變量),修改故意構(gòu)造的漏洞的數(shù)量(自變量)。通過確定

13、web服務(wù)器不改變和改變故意構(gòu)造的漏洞數(shù)量,最終那些被web應(yīng)用程序漏洞掃描器發(fā)現(xiàn)和忽略的漏洞(因變量)都將被觀察到和分析到。這個方法提供了一組假陽率(誤判)和假陰率(遺漏)的結(jié)果,通過分析這些數(shù)據(jù),可以發(fā)現(xiàn)是什么原因造成了錯誤結(jié)果。
  使用單一試驗平臺的web服務(wù)器是有利的,因為它提供的一個受控制的web應(yīng)用程序環(huán)境將保持不變,并且在測試過程中保持一致性。如果使用不一致的方法,web漏洞掃描器測試的那些web應(yīng)用程序?qū)⒂兄黠@

14、不同數(shù)量的頁面、服務(wù)器端技術(shù)和其他層面的復(fù)雜性,其后的分析將難以完成。保證實驗中其他因素不變,只需關(guān)注web漏洞掃描技術(shù)的缺陷,而無需擔(dān)心問題是由于其他因素造成的。服務(wù)器技術(shù)Wampserver(windows、Apache、MySQL和PHP)保持不變,但故意構(gòu)造的漏洞的數(shù)量將被修改。由于所使用的源代碼是我自己開發(fā)的,因此預(yù)期的結(jié)果是已知的,不會存在大量未知數(shù)量的漏洞。在分析web漏洞掃描器方面,該方法是一種非常有效的方法,因為可以對

15、漏洞掃描器誤判或遺漏的漏洞進行定位。通過存在于掃描器之中的假陽率和假陰率的確切數(shù)字,每一個掃描器的結(jié)果都將可以確定。
  這種測試方法可以從使用黑盒分析和白盒分析中受益。黑盒分析是一種滲透測試,通過對應(yīng)用程序操作的分析來尋找漏洞。白盒分析是另一個漏洞檢測技術(shù),只有在源代碼可見情況下,才能用來發(fā)現(xiàn)程序的安全漏洞。
  本研究提出了一種可行的方法來發(fā)現(xiàn)web應(yīng)用程序漏洞掃描器的局限性,利用一個web服務(wù)器測試平臺進行漏洞檢測和分

16、析。對本研究中使用的web應(yīng)用程序漏洞掃描器的選擇,是基于它們能探查到的漏洞數(shù)量和種類、檢測的漏洞的重要性和使用的掃描技術(shù)這三個方面來決定的。出于這項研究的需要,我在虛擬仿真環(huán)境中搭建了于Wampserver、Apache、MySQL和PHP框架的web服務(wù)器測試平臺,所有用于測試的web應(yīng)用程序都被部署在該平臺上。之所以選擇該技術(shù)框架是因為它的流行性和廣泛的使用度。每個web應(yīng)用程序漏洞掃描器都按照規(guī)定方法對web應(yīng)用程序進行測試,其

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論