基于SOAP消息變異的Web服務(wù)脆弱性測試方法研究.pdf

1、Web服務(wù)互聯(lián)互通的特點(diǎn)是Web服務(wù)集成和應(yīng)用的基礎(chǔ),它支持開放、動態(tài)的互操作模式,可以大大降低系統(tǒng)集成的開銷和復(fù)雜性,因此獲得了學(xué)術(shù)界的高度重視和產(chǎn)業(yè)界的大力支持。Web服務(wù)以XML(Extensible Markup Language)、SOAP(Simpie Object Access Protocol)、WSDL(Web Services Description Language)和UDDI(Universal Descript

2、ion Discovery and Integration)為核心;以WSDL語言定義消息的格式和內(nèi)容;以SOAP協(xié)議進(jìn)行消息通信,具有良好的封裝性和集成性。由于Web服務(wù)通常包含了應(yīng)用系統(tǒng)的關(guān)鍵業(yè)務(wù),若其安全性出現(xiàn)問題就有可能帶來巨大的損失和嚴(yán)重的后果,故很多學(xué)者紛紛轉(zhuǎn)向?qū)eb服務(wù)測試的研究來保證其安全性。
　　 Web服務(wù)的脆弱性本質(zhì)是指Web服務(wù)中存在的安全漏洞,利用它可以危害Web服務(wù)的安全策略,導(dǎo)致信息的出錯或丟失。

3、目前針對其測試的研究還不多見,主要集中在Web服務(wù)的功能和可靠性研究方面,還有針對Web服務(wù)進(jìn)行數(shù)值擾動和數(shù)據(jù)通信擾動的測試方法研究。本文在此基礎(chǔ)上研究了Web服務(wù)測試基礎(chǔ),提出了基于SOAP消息變異的脆弱性測試方法,并設(shè)計(jì)實(shí)現(xiàn)了一個(gè)Web服務(wù)脆弱性測試原型系統(tǒng)。主要工作闡述如下:
　　 1.調(diào)研了Web服務(wù)測試的基礎(chǔ)知識。隨著Web服務(wù)的廣泛使用,對其安全性測試的研究受到廣泛的重視,介紹了Web服務(wù)的基本知識,包括Web服務(wù)的

4、體系結(jié)構(gòu)、堆棧、SOAP協(xié)議、WSDL協(xié)議和UDDI規(guī)范;然后調(diào)研了組件安全性測試技術(shù)和Web服務(wù)測試的主要方法。
　　 2.根據(jù)SOAP消息參數(shù)的類型,提出了兩種基于SOAP消息變異的Web服務(wù)脆弱性測試方法,分別是最壞差異輸入變異方法(The Worst-input Mutation Approach)和雜亂數(shù)據(jù)變異方法(FHZZ Data-input Mutation Approach)。最后將這兩種方法融合在一起開發(fā)實(shí)現(xiàn)

5、了一個(gè)Web服務(wù)脆弱性測試工具WSVTT(Web Service Vulnerability Testing Tool)來測試Web服務(wù)的脆弱性。相應(yīng)地,提出了兩種測試用例生成算法,分別是最遠(yuǎn)鄰測試用例生成算法TCFN(Test Cases generationbased on Farthest Neighbor)和雜亂數(shù)據(jù)輸入變異算法FDMA(Fuzz Data-input Mutation Algorithm)。其中,TCFN算法主

6、要針對參數(shù)類型為連續(xù)型的情況;FDMA算法主要針對參數(shù)類型為離散型的情況。然后,將算法產(chǎn)生的測試用例作用于SOAP請求消息,從客戶端觀察應(yīng)答消息,來分析Web服務(wù)的脆弱性;最后通過WSVTT工具進(jìn)行試驗(yàn),表明提出的基于SOAP消息變異的方法可以更有效的發(fā)現(xiàn)Web服務(wù)的脆弱性。
　　 3.設(shè)計(jì)實(shí)現(xiàn)了一個(gè)Web服務(wù)脆弱性測試原型系統(tǒng)WSVTS(Web Service Vulnerability Testing System),主要有