面向Web應用的安全評測技術研究

張冠陽

摘要：當今社會，互聯網應用已然已經普及，而在互聯網應用中，Web應用的地位又是不可或缺，說其是互聯網中的第一大應用毫不過分，但根據我國關于互聯網安全監測數據及其他統計來看，Web應用安全存在不少問題，Web安全性問題一直在電腦信息領域屬于關鍵性問題，也是當今領域的熱點問題，關于Web的發展，目前在安全應用方面的內容少之又少，相關研究工作的開展較為困難，因此本文的著重點是以Web應用安全為基礎，展開一系列評測方法的討論，從多個不同方面進行關于Web安全評測工具的原理介紹及其功能說明，希望可以幫助更多的互聯網用戶解決棘手問題。

關鍵詞：應用安全：Web：技術研究

1引言

正如上述所講，互聯網Web應用是個重點問題，不管從統計數據來看，還是在網絡前三應用排名位置來看，Web應用都以占比68%的TCP流量遙遙領先，但是同時我們也都了解，Web的本質特點是帶有開放性因素，也具備基本用戶自行操作特點，筆者通過一定調查發現，Web應用安全問題有90%以上的用戶都面臨過，其一時系統本身的漏洞問題，其二是75%以上還面臨被惡意攻擊的局面。此種形式還在以較為明顯的趨勢上升，于是本文進行了關于Web應用安全評測方法的研究，也對其常用的評測工具展開了一系列介紹。

2 基于安全性Web評測措施概述

關于早期的Web應用，主要是依靠設計者自身的水平給予一定的保證，對其進行安全性方面的監測也主要以黑箱測試的方式為主，其監測原理為，不需要知曉權健具體情況，只需要模擬一些實際工作環境即可，是要可以保證在真實環境下Web應用可操作，就算是檢測成功。但正由于系統集合的龐大性，所以只要根據不同軟件的功能實行針對性操作就算是完成了測試。總結一下就是黑箱操作可以不用源代碼進行，由于Web應用也是隨時代更新進步的，所以現在關于Web的安全監測，方式也越來越多，（1）可以提出更多的安全模式框架，讓設計人員按照框架進行程序設置，來保證Web安全性（2）可使用白箱測試方式，在現下已有程序模式的基礎上，檢查是否存在新的漏洞。總的來說，在源代碼基礎上進行人工分析，可保證程序的正確性。同時也可以在某些疑點上，再進行針對性的研究測試。機器分析也是一種可靠方式，讓其進行漏洞位置的檢查。但是由于白箱操作耗時耗力，比較話費精力，所以當下Web安全性評測主要還是依附于兩種方式，即融合兩種模式一起，將白箱與黑箱進行漏洞類型的全面覆蓋，現在的商用Web應用安全評測軟件，就是使用的這一方式。軟件方法采用的是特征字符串法。

從總體情況來看，Web在應用方面的漏洞無非就是邏輯與技術兩種，當下的多數進行漏洞檢測的機器都只能進行技術漏洞分析，程序上的邏輯，很難予以理解，所以還是要依靠實際方法來保證程序邏輯上的安全性，這些內容都是需要設計師來完成的。

在日益更新的今天，Web安全監測方法越來越多，進步點有（1）白箱操作越來越多，這正是他因為大家已經意識到黑箱的不足，白箱檢測的準確性已然是優勢。（2）由于環境發展也在改變為分布式，所以在大規模應用Web情況下，用單一工作站方式來完成項目已然不太可能，所以必須進行計算機能力提升，把協同檢測手段快速的發展起來（3）現在這種程序員參與檢測的方式是非常精準，但從效率上說，將人工智能大批引入到程序的分析工作中來，不管是時間成本，還是高效率，都是結果提升的表現。當下主要問題就在于設計模式的匱乏，所以必須要借助于大量的人工勞力進行模式設計，并且要更多的去發現Web安全性攻擊模式，這當然也是非常繁瑣費力的事情。所以筆者認為，隨著監測方式的完善，加之不斷提升的工作站水平，用計算機來完成這項工作應該不是難題，完全可以考慮黑白箱合作操作，加以人工輔助，制作出一整套完善的Web應用安全測試，這套流程大致可分以下幾點內容（1）把源代碼填入黑箱，分析出更多錯誤信息，讓安全性錯誤漏洞暴露出更多的類型和位置（2）人工分析黑箱信息，這樣可以更好的應用于對白箱操作的指導工作，以便日后更多的分析出其他漏洞的具體信息（3）這些漏洞信息都可加以利用，使其變成典型案例，或者完成類測樣本的自動生成工作。見圖1。

3 其他Web評測工具的概述

因技術因素和時長因素的限制性，雖然目前市面上有很多關于Web安全性評測的軟件，但都沒有一個固定規范來系統化這套流程，想要切切實實進行Web應用方面的技術規范，需要思索更多的步驟，例如（1）認真進行Web站點內容的整體設計審查，找出更多不同腳本漏洞（2）分析源代碼，找出站點不完善部分，如緩沖區溢出、SQL注入等內容（3）評估Web網站部署，用模擬攻擊的方式對站內用戶進行安全弱點的入侵，查看是否有信息泄露，或者出現類似于認證不充分這類內容。

Nikto也是一款非常有名且使用率高的安全掃描工具，其利用4個基本模塊內容組成了插件式結構，它們對于Web檢測也具有核心引擎、插件掃描、規則庫、底層通信模塊等檢測功能，具有可靠性。同時在Nikto這款軟件中，主要的任務也都是插件來完成的，例如，在目前市面上的Nikto2.0的軟件版本中，代理服務器的設置，對數據庫等庫內數據的分析解讀，對一些配置好的文件內容展開一系列的執行任務，以及一些端口的快速掃描等，這些都屬于Nikto的核心功能內容范疇。

規則庫通常采用的格式為CSV，用此格式來進行電腦及軟件文本文件的保存，Nikto2.0的規則庫也隨著信息的更新換代，從最初僅有的五個增加到后來的八個，用戶甚至可在規則庫的規模上進行調整到自定義狀態，也可隨意進行原有規則庫的插入。規則庫還可以與掃描插件一起進行更新，一旦電腦中有發現新的漏洞，或者有帶有新規則自定義的規則庫產生，用戶都可將其提交到Nikto站上，與站內其他使用者展開用戶體驗交流。

4 結語

高速發展的今日，信息技術越發更新換代，對其各項程序軟件的安全性檢測，也一直是使用者們深思熟慮的問題，希望可以在今后得到妥善解決。

參考文獻

[1]張敏，林盛.大學生對即時通訊軟件使用行為的影響因素研究[J].上海管理科學，2016，38（4）：66?70.

[2]莫足琴.移動網絡下高可靠即時通信系統的研究與應用[J].現代電子技術，2016，39（13）：23?26.

[3]謝佳華，劉軍.無線網絡通信覆蓋優化仿真研究[J].計算機仿真，2015，32（6）：271?275.

[4]郭庭躍，楊德仕.基于 P2P 網絡模型的即時通信軟件的研究與設計[J].中原工學院學報，2016，27（1）：92?95.