張冠陽

摘要：當(dāng)今社會(huì)，互聯(lián)網(wǎng)應(yīng)用已然已經(jīng)普及，而在互聯(lián)網(wǎng)應(yīng)用中，Web應(yīng)用的地位又是不可或缺，說其是互聯(lián)網(wǎng)中的第一大應(yīng)用毫不過分，但根據(jù)我國關(guān)于互聯(lián)網(wǎng)安全監(jiān)測數(shù)據(jù)及其他統(tǒng)計(jì)來看，Web應(yīng)用安全存在不少問題，Web安全性問題一直在電腦信息領(lǐng)域?qū)儆陉P(guān)鍵性問題，也是當(dāng)今領(lǐng)域的熱點(diǎn)問題，關(guān)于Web的發(fā)展，目前在安全應(yīng)用方面的內(nèi)容少之又少，相關(guān)研究工作的開展較為困難，因此本文的著重點(diǎn)是以Web應(yīng)用安全為基礎(chǔ)，展開一系列評(píng)測方法的討論，從多個(gè)不同方面進(jìn)行關(guān)于Web安全評(píng)測工具的原理介紹及其功能說明，希望可以幫助更多的互聯(lián)網(wǎng)用戶解決棘手問題。

關(guān)鍵詞：應(yīng)用安全：Web：技術(shù)研究

1引言

正如上述所講，互聯(lián)網(wǎng)Web應(yīng)用是個(gè)重點(diǎn)問題，不管從統(tǒng)計(jì)數(shù)據(jù)來看，還是在網(wǎng)絡(luò)前三應(yīng)用排名位置來看，Web應(yīng)用都以占比68%的TCP流量遙遙領(lǐng)先，但是同時(shí)我們也都了解，Web的本質(zhì)特點(diǎn)是帶有開放性因素，也具備基本用戶自行操作特點(diǎn)，筆者通過一定調(diào)查發(fā)現(xiàn)，Web應(yīng)用安全問題有90%以上的用戶都面臨過，其一時(shí)系統(tǒng)本身的漏洞問題，其二是75%以上還面臨被惡意攻擊的局面。此種形式還在以較為明顯的趨勢上升，于是本文進(jìn)行了關(guān)于Web應(yīng)用安全評(píng)測方法的研究，也對(duì)其常用的評(píng)測工具展開了一系列介紹。

2 基于安全性Web評(píng)測措施概述

關(guān)于早期的Web應(yīng)用，主要是依靠設(shè)計(jì)者自身的水平給予一定的保證，對(duì)其進(jìn)行安全性方面的監(jiān)測也主要以黑箱測試的方式為主，其監(jiān)測原理為，不需要知曉權(quán)健具體情況，只需要模擬一些實(shí)際工作環(huán)境即可，是要可以保證在真實(shí)環(huán)境下Web應(yīng)用可操作，就算是檢測成功。但正由于系統(tǒng)集合的龐大性，所以只要根據(jù)不同軟件的功能實(shí)行針對(duì)性操作就算是完成了測試?？偨Y(jié)一下就是黑箱操作可以不用源代碼進(jìn)行，由于Web應(yīng)用也是隨時(shí)代更新進(jìn)步的，所以現(xiàn)在關(guān)于Web的安全監(jiān)測，方式也越來越多，（1）可以提出更多的安全模式框架，讓設(shè)計(jì)人員按照框架進(jìn)行程序設(shè)置，來保證Web安全性（2）可使用白箱測試方式，在現(xiàn)下已有程序模式的基礎(chǔ)上，檢查是否存在新的漏洞。總的來說，在源代碼基礎(chǔ)上進(jìn)行人工分析，可保證程序的正確性。同時(shí)也可以在某些疑點(diǎn)上，再進(jìn)行針對(duì)性的研究測試。機(jī)器分析也是一種可靠方式，讓其進(jìn)行漏洞位置的檢查。但是由于白箱操作耗時(shí)耗力，比較話費(fèi)精力，所以當(dāng)下Web安全性評(píng)測主要還是依附于兩種方式，即融合兩種模式一起，將白箱與黑箱進(jìn)行漏洞類型的全面覆蓋，現(xiàn)在的商用Web應(yīng)用安全評(píng)測軟件，就是使用的這一方式。軟件方法采用的是特征字符串法。

從總體情況來看，Web在應(yīng)用方面的漏洞無非就是邏輯與技術(shù)兩種，當(dāng)下的多數(shù)進(jìn)行漏洞檢測的機(jī)器都只能進(jìn)行技術(shù)漏洞分析，程序上的邏輯，很難予以理解，所以還是要依靠實(shí)際方法來保證程序邏輯上的安全性，這些內(nèi)容都是需要設(shè)計(jì)師來完成的。

在日益更新的今天，Web安全監(jiān)測方法越來越多，進(jìn)步點(diǎn)有（1）白箱操作越來越多，這正是他因?yàn)榇蠹乙呀?jīng)意識(shí)到黑箱的不足，白箱檢測的準(zhǔn)確性已然是優(yōu)勢。（2）由于環(huán)境發(fā)展也在改變?yōu)榉植际?，所以在大?guī)模應(yīng)用Web情況下，用單一工作站方式來完成項(xiàng)目已然不太可能，所以必須進(jìn)行計(jì)算機(jī)能力提升，把協(xié)同檢測手段快速的發(fā)展起來（3）現(xiàn)在這種程序員參與檢測的方式是非常精準(zhǔn)，但從效率上說，將人工智能大批引入到程序的分析工作中來，不管是時(shí)間成本，還是高效率，都是結(jié)果提升的表現(xiàn)。當(dāng)下主要問題就在于設(shè)計(jì)模式的匱乏，所以必須要借助于大量的人工勞力進(jìn)行模式設(shè)計(jì)，并且要更多的去發(fā)現(xiàn)Web安全性攻擊模式，這當(dāng)然也是非常繁瑣費(fèi)力的事情。所以筆者認(rèn)為，隨著監(jiān)測方式的完善，加之不斷提升的工作站水平，用計(jì)算機(jī)來完成這項(xiàng)工作應(yīng)該不是難題，完全可以考慮黑白箱合作操作，加以人工輔助，制作出一整套完善的Web應(yīng)用安全測試，這套流程大致可分以下幾點(diǎn)內(nèi)容（1）把源代碼填入黑箱，分析出更多錯(cuò)誤信息，讓安全性錯(cuò)誤漏洞暴露出更多的類型和位置（2）人工分析黑箱信息，這樣可以更好的應(yīng)用于對(duì)白箱操作的指導(dǎo)工作，以便日后更多的分析出其他漏洞的具體信息（3）這些漏洞信息都可加以利用，使其變成典型案例，或者完成類測樣本的自動(dòng)生成工作。見圖1。

3 其他Web評(píng)測工具的概述

因技術(shù)因素和時(shí)長因素的限制性，雖然目前市面上有很多關(guān)于Web安全性評(píng)測的軟件，但都沒有一個(gè)固定規(guī)范來系統(tǒng)化這套流程，想要切切實(shí)實(shí)進(jìn)行Web應(yīng)用方面的技術(shù)規(guī)范，需要思索更多的步驟，例如（1）認(rèn)真進(jìn)行Web站點(diǎn)內(nèi)容的整體設(shè)計(jì)審查，找出更多不同腳本漏洞（2）分析源代碼，找出站點(diǎn)不完善部分，如緩沖區(qū)溢出、SQL注入等內(nèi)容（3）評(píng)估Web網(wǎng)站部署，用模擬攻擊的方式對(duì)站內(nèi)用戶進(jìn)行安全弱點(diǎn)的入侵，查看是否有信息泄露，或者出現(xiàn)類似于認(rèn)證不充分這類內(nèi)容。

Nikto也是一款非常有名且使用率高的安全掃描工具，其利用4個(gè)基本模塊內(nèi)容組成了插件式結(jié)構(gòu)，它們對(duì)于Web檢測也具有核心引擎、插件掃描、規(guī)則庫、底層通信模塊等檢測功能，具有可靠性。同時(shí)在Nikto這款軟件中，主要的任務(wù)也都是插件來完成的，例如，在目前市面上的Nikto2.0的軟件版本中，代理服務(wù)器的設(shè)置，對(duì)數(shù)據(jù)庫等庫內(nèi)數(shù)據(jù)的分析解讀，對(duì)一些配置好的文件內(nèi)容展開一系列的執(zhí)行任務(wù)，以及一些端口的快速掃描等，這些都屬于Nikto的核心功能內(nèi)容范疇。

規(guī)則庫通常采用的格式為CSV，用此格式來進(jìn)行電腦及軟件文本文件的保存，Nikto2.0的規(guī)則庫也隨著信息的更新?lián)Q代，從最初僅有的五個(gè)增加到后來的八個(gè)，用戶甚至可在規(guī)則庫的規(guī)模上進(jìn)行調(diào)整到自定義狀態(tài)，也可隨意進(jìn)行原有規(guī)則庫的插入。規(guī)則庫還可以與掃描插件一起進(jìn)行更新，一旦電腦中有發(fā)現(xiàn)新的漏洞，或者有帶有新規(guī)則自定義的規(guī)則庫產(chǎn)生，用戶都可將其提交到Nikto站上，與站內(nèi)其他使用者展開用戶體驗(yàn)交流。

4 結(jié)語

高速發(fā)展的今日，信息技術(shù)越發(fā)更新?lián)Q代，對(duì)其各項(xiàng)程序軟件的安全性檢測，也一直是使用者們深思熟慮的問題，希望可以在今后得到妥善解決。

參考文獻(xiàn)

[1]張敏，林盛.大學(xué)生對(duì)即時(shí)通訊軟件使用行為的影響因素研究[J].上海管理科學(xué)，2016，38（4）：66?70.

[2]莫足琴.移動(dòng)網(wǎng)絡(luò)下高可靠即時(shí)通信系統(tǒng)的研究與應(yīng)用[J].現(xiàn)代電子技術(shù)，2016，39（13）：23?26.

[3]謝佳華，劉軍.無線網(wǎng)絡(luò)通信覆蓋優(yōu)化仿真研究[J].計(jì)算機(jī)仿真，2015，32（6）：271?275.

[4]郭庭躍，楊德仕.基于 P2P 網(wǎng)絡(luò)模型的即時(shí)通信軟件的研究與設(shè)計(jì)[J].中原工學(xué)院學(xué)報(bào)，2016，27（1）：92?95.