劉鴿

摘 要：隨著互聯(lián)網(wǎng)的普及與互聯(lián)網(wǎng)技術(shù)的成熟，以電子商務(wù)、社交網(wǎng)絡(luò)為代表的Web應(yīng)用成為互聯(lián)網(wǎng)行業(yè)的核心應(yīng)用。這類應(yīng)用的分布式部署、多客戶并發(fā)訪問、處理相對集中在服務(wù)器端的特點使其測試不同于一般應(yīng)用程序的測試。該文介紹了Web應(yīng)用程序壓力測試的相關(guān)概念、測試流程及同時對壓力測試工具對比分析，為測試人員選取適當?shù)墓ぞ咛峁﹨⒖肌?/p>

關(guān)鍵詞：Web測試 安全測試 安全測試工具

中圖分類號：TP31 文獻標識碼：A 文章編號：1672-3791（2015）04（b）-0022-02

隨著Web2.0、社交網(wǎng)絡(luò)、網(wǎng)絡(luò)支付等等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生，基于Web環(huán)境的應(yīng)用越來越廣泛，越來越多的重要數(shù)據(jù)都存儲在Web應(yīng)用上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強烈關(guān)注。黑客利用SQL注入、跨站式腳本攻擊、跨站點偽造請求等方式，得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。因此對于Web應(yīng)用程序測試來說，使用Web安全測試工具，進行安全測試可以最大限度的發(fā)現(xiàn)安全漏洞、消除安全隱患。

1 基本概念

1.1 安全性測試

所謂安全性測試是有關(guān)驗證應(yīng)用程序的安全服務(wù)和識別潛在安全性缺陷的過程。安全性測試并不最終證明應(yīng)用程序是安全的，而是要提供證據(jù)表明，在面對敵意和惡意輸入的時候，應(yīng)用仍然能夠充分地滿足既定需求。

1.2 Web安全性測試

Web安全測試就是使用多種工具，來模擬和激發(fā)Web應(yīng)用活動。完整的Web安全性測試可以從部署結(jié)構(gòu)、輸入驗證、身份驗證、配置管理、敏感數(shù)據(jù)保護、會話管理、參數(shù)操作、異常管理、審核和日志記錄等幾個方面入手。

2 安全隱患

2.1 SQL注入攻擊

所謂SQL注入攻擊指的是通過構(gòu)建特殊的輸入作為參數(shù)傳入Web應(yīng)用程序，而這些輸入大都是SQL語法里的一些組合，通過執(zhí)行SQL語句進而執(zhí)行攻擊者所要的操作，其主要原因是程序沒有細致地過濾用戶輸入的數(shù)據(jù)，致使非法數(shù)據(jù)侵入系統(tǒng)。

2.2 跨站式腳本攻擊

跨站腳本攻擊（Cross Site Scripting）是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計算機安全漏洞，它允許惡意Web用戶將代碼植入到提供給其他用戶使用的頁面中。XSS攻擊分成兩類，一類是來自內(nèi)部的攻擊，主要指的是利用程序自身的漏洞，構(gòu)造跨站語句，另一類則是來自外部的攻擊，主要指的自己構(gòu)造XSS跨站漏洞網(wǎng)頁或者尋找非目標機以外的有跨站漏洞的網(wǎng)頁。

2.3 跨站點請求偽造

跨站請求偽造（Cross-site request forgery），是一種依賴web瀏覽器的、對網(wǎng)站的惡意利用，通過強迫訪問主體的采用瀏覽器的方式向已登陸的Web應(yīng)用系統(tǒng)發(fā)送一條偽造的HTTP請求，包括受害者會話信息、身份信息等內(nèi)容，從而導(dǎo)致相關(guān)的應(yīng)用程序認定該請求是受害者本人所發(fā)出的合理請求。

2.4 無效的認證及會話管理

對應(yīng)用程序的訪問者的認證及會話管理，在執(zhí)行過程中常常發(fā)生各種問題。導(dǎo)致攻擊者通過數(shù)據(jù)包抓取、重放攻擊等手段，獲取到密碼、密鑰、會話授權(quán)，從而盜取用戶身份。

2.5 不安全對象的直接引用

當某種內(nèi)部私有對象的引用被公開時，例如一個文檔、目錄服務(wù)結(jié)構(gòu)等關(guān)鍵信息時，可能發(fā)生這種情況。由于缺乏對訪問者的身份檢查、訪問控制檢查或其它安全保護措施，攻擊者們能夠利用這些引用信息對那些未獲授權(quán)的數(shù)據(jù)進行訪問。

2.6 安全配置錯誤

好的安全保障體系需要一套經(jīng)過精心定義及部署的設(shè)置方案，其對象包括應(yīng)用程序、系統(tǒng)框架、應(yīng)用程序服務(wù)、頁面服務(wù)、數(shù)據(jù)庫服務(wù)以及運行平臺等。上述這些設(shè)定應(yīng)該被精確地定義、執(zhí)行和保存，然而事實上大多數(shù)情況下，用戶會直接使用安全保障系統(tǒng)的默認設(shè)置，而其中有許多項目并未被正確配置，包括全部軟件的及時更新以及應(yīng)用程序所要調(diào)用的全部代碼庫。

2.7 敏感數(shù)據(jù)明文傳遞

許多Web應(yīng)用程序，在信息傳輸、存儲時，并未采用加密或散列方法來保護這些敏感內(nèi)容，例如用戶口令、證件號碼、信用卡信息等。攻擊者們可以竊取或修改這些數(shù)據(jù)，從而冒用受害者身份、進行信用卡詐騙或其它犯罪行為。

2.8 URL偽造

許多Web應(yīng)用程序在跳轉(zhuǎn)到那些受控訪問資源之前，都會檢查訪問者的URL。應(yīng)用程序應(yīng)該在每次接收到頁面訪問請求時，都進行一次這樣的檢查，否則攻擊者們將可以通過偽造URL的方式隨意訪問這類隱藏頁面。

2.9 傳輸層數(shù)據(jù)完整性保護

應(yīng)用程序常常無法實現(xiàn)對網(wǎng)絡(luò)通信內(nèi)容完整性的驗證、加密、保護等功能。當這種情況發(fā)生時，應(yīng)用程序有時會選擇支持那些低強度的加密算法、使用過期的或者無效的驗證信息，或者是無法正確應(yīng)用這些安全保障功能。

2.10 未經(jīng)驗證的轉(zhuǎn)發(fā)與重定向

頁面應(yīng)用程序經(jīng)常將使用者的訪問請求重新指向或轉(zhuǎn)發(fā)至其它網(wǎng)頁和網(wǎng)站上，并使用不受信任的數(shù)據(jù)來定位目標頁面。如果沒有正確的驗證機制在此過程中加以制約，攻擊者完全可以將受害者的訪問請求重新指向到釣魚類或其它惡意軟件網(wǎng)站上，或者將訪問轉(zhuǎn)發(fā)至未經(jīng)授權(quán)的頁面。

3 常用測試工具

3.1 SQL Inject Me

SQL Inject Me是檢測SQL注入攻擊的一種常用工具，它是火狐瀏覽器的附加組件，通過它可以檢測全部架構(gòu)或選中的參數(shù)所能受到的各種攻擊方式，或者是檢測該工具中預(yù)設(shè)的九種常見攻擊類型。當在工具中選定攻擊方式后，再執(zhí)行SQL Inject Me，則該工具的運行狀況，包括通過在選項中添加或刪除字符串的方式進行攻擊。

3.2 ZAP

Zed攻擊代理（簡稱ZAP），通常用來檢測跨站式腳本攻擊，它是一款“易于使用的，幫助用戶從網(wǎng)頁應(yīng)用程序中尋找漏洞的綜合類滲透測試工具”。ZAP包含了攔截代理、自動處理、被動處理、暴力破解以及端口掃描等功能，同時包含了蜘蛛搜索功能。

3.3 HackBar

HackBar是火狐瀏覽器插件，可以模擬若密鑰保護及散列保護。主要用來檢測不具備SSL/TLS的保護的訪問會話。如果應(yīng)用系統(tǒng)對會話ID，采用MD5碼或是SHA1散列形式的密碼所保護，可以采用HackBar方式進行模擬，檢測是否通過中間人攻擊或是通過XSS漏洞獲取到會話ID。HackBar在對Base64，各種URL以及HEX的編碼及解碼方面也非常實用。

3.4 Burp

Burp是一款Web應(yīng)用程序安全漏洞分析工具，可以對路徑及目錄瀏覽過程進行監(jiān)測。Burp同樣可以作為一款代理軟件來使用；跟ZAP類似，只要在FoxyProxy上進行相應(yīng)設(shè)置即可。啟動Burp，然后將你的瀏覽器指向要訪問的目標地址。通過WebGoat，我們能夠檢測到是否有規(guī)避路徑的資源被非授權(quán)訪問。

3.5 Tamper Data

Tamper Data是檢測CSRF攻擊的一種常用工具，它是火狐瀏覽器的附加組件。在檢測GalleryApp時，可使用Tamper Data來測定該GalleryApp是否在將所有參數(shù)提交給后臺腳本時會容易受到CSRF攻擊。

3.6 Watobo

Watobo可以使專業(yè)的安全人員能夠以高效且半自動化的方式對應(yīng)用程序配置的安全性進行評估。Watobo是以代理工具的角度運行的，并且需要調(diào)用Ruby中的部分內(nèi)容，需要在測試環(huán)境中安裝Ruby解釋程序。將FoxyProxy進行設(shè)置，以使其將網(wǎng)絡(luò)數(shù)據(jù)流通過8081端口導(dǎo)入Watobo，并完成最終分析。

3.7 Nikto/Wikto

Wikto是具備Windows圖形用戶界面的Nikto程序。通過Nikto或是Wikto能夠檢測Web應(yīng)用程序?qū)υL問者的URL進行查詢之后才向那些被保護的鏈接及按鈕提交請求當然不錯，但如果應(yīng)用程序并沒有在每次接到類似的訪問請求時都進行監(jiān)控，那么攻擊者們將能夠獲取到這些應(yīng)用程序所調(diào)用的隱藏頁面。

3.8 Calomel

Calomel是對SSL連接及安全等級等信息進行驗證的工具，它是火狐瀏覽器的附加組件。Calomel能夠檢測SSL的加密強度，并通過顏色來進行標識；并能夠?qū)SL證書的真?zhèn)?、狀態(tài)、內(nèi)容、自簽名等細節(jié)進行查詢。

3.9 Watcher

Watcher是Chris Weber開發(fā)的 Fiddler 附加組件，只支持IE內(nèi)核瀏覽器測試，它在被動分析方面優(yōu)勢明顯。使用Watcher同時還需要運行Fiddler，Watcher將會以被動狀態(tài)提供對網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)視及報警功能。

3.10 其他綜合測試工具

（1）N-Stalker。

N-Stalker Web漏洞掃描器是N-Stalker公司研發(fā)的一個頂級的安全評估工具。通過與知名的N-Stealth HTTP Security Scanner及其35 000個web攻擊簽名數(shù)據(jù)庫合并，以及正在申請專利的Web應(yīng)用程序安全評估技術(shù)組件，N-Stalker Web漏洞掃描器能為你的Web應(yīng)用程序徹底消除大量普遍的安全隱患，包括跨站點的腳本和SQL injection，緩沖溢出，篡改參數(shù)攻擊等等。

（2）Netsparker。

Netsparker是一款優(yōu)秀的SQL注入安全掃描器。Netsparker與其他綜合性的Web應(yīng)用安全掃描工具相比的一個特點是它能夠更好的檢測SQL Injection和Cross-site Scripting類型的安全漏洞。Netsparker能夠顯示漏洞判定的準確度、支持Ajax/Javascript、采用啟發(fā)式的檢測模式、支持報錯注入布爾注入、支持反射型、存儲型跨站腳本漏洞檢測。

（3）Websecurify。

Websecurify是一款開源的跨平臺網(wǎng)站安全檢查工具，是一個強大的Web應(yīng)用程序安全測試環(huán)境，由底層向上提供了自動和手動的脆弱性測試技術(shù)的最佳組合，能夠精確的檢測Web應(yīng)用程序安全問題。

（4）Skipfish。

Skipfish是由google出品的一款自動化的網(wǎng)絡(luò)安全掃描工具，該工具可以安裝在linux、freebsd、MacOS X系統(tǒng)和windows（cygwin）。Skipfish與Nikto和Nessus等其他開源掃描工具有相似的功能，但Skipfish還具備一些獨特的優(yōu)點。Skipfish通過HTTP協(xié)議處理且占用較低的CPU資源，因此它的運行速度比較快。Skipfish每秒鐘可以輕松處理2000個請求。

4 結(jié)語

Web應(yīng)用所執(zhí)行的測試中，安全測試可能是最重要的，但它卻常常是最容易被忽略的。一般來說，一個Web應(yīng)用包括Web服務(wù)器運行的操作系統(tǒng)、Web服務(wù)器、Web應(yīng)用邏輯、數(shù)據(jù)庫幾個部分，其中任何一個部分出現(xiàn)安全漏洞，都會導(dǎo)致整個系統(tǒng)的安全性問題。

對操作系統(tǒng)來說：最關(guān)鍵的操作系統(tǒng)的漏洞，例如Unix上的緩沖區(qū)溢出漏洞、Windows上的RPC漏洞、緩沖區(qū)溢出漏洞、安全機制漏洞等等；對Web服務(wù)器來說：WEB服務(wù)器從早期僅提供對靜態(tài)HTML和圖片進行訪問發(fā)展到現(xiàn)在對動態(tài)請求的支持，早已是非常龐大的系統(tǒng)，即使發(fā)展多年的Apache也難逃經(jīng)常被發(fā)現(xiàn)安全漏洞的缺陷，更不要說千瘡百孔的IIS了；對應(yīng)用邏輯來說：根據(jù)其實現(xiàn)的語言不同、機制不同、由于編碼、框架本身的漏洞或是業(yè)務(wù)設(shè)計時的不完善，都可能導(dǎo)致安全上的問題；對數(shù)據(jù)庫來說：數(shù)據(jù)庫注入攻擊一直是數(shù)據(jù)庫廠商和網(wǎng)站開發(fā)者的噩夢。

除此之外，安全問題還存在于管理等各個方面，不完善的管理制度、缺乏安全意識的員工都會是內(nèi)部的突破口，同樣，一些開發(fā)工具生成的備份文件和注釋也會成為Cracker發(fā)送攻擊的參考資料。

對Web的安全性測試是一個很大的題目，首先取決于要達到怎樣的安全程度。不要期望網(wǎng)站可以達到100%的安全，即使是美國國防部，也不能保證自己的網(wǎng)站100%安全。

對于如何保證Web應(yīng)用程序的安全，首先要了解必要的安全知識，從安全風(fēng)險分析入手，選擇相應(yīng)的安全檢測工具，查找安全隱患，彌補安全漏洞，最終達到進一步加強系統(tǒng)安全的目標。

參考文獻

[1] 霍普，等著.傅鑫，等譯.Web安全測試[M].北京：清華大學(xué)出版社，2010.

[2] PC Jorgensen著.韓柯，等譯.軟件測試[M].北京：機械工業(yè)出版社，2002.

[3] Ron Patton著.周予濱，姚靜，等譯.軟件測試[M].北京：機械工業(yè)出版社，2002.

[4] 秦明，薛勝軍.威脅建模技術(shù)在Web應(yīng)用程序中的應(yīng)用[J].電腦知識與技術(shù)：學(xué)術(shù)交流，2007（1）.

[5] 吳海燕，苗春雨，劉啟新，等.Web應(yīng)用系統(tǒng)安全評測研究[J].計算機安全，2008（4）.

[6] 霍漢強.Web應(yīng)用系統(tǒng)安全問題的探究[J].大眾科技，2008（3）.

[7] 白雪.試論Web應(yīng)用系統(tǒng)的安全性測試技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（9）.