Web服务安全性测试技术问题研究.doc
《Web服务安全性测试技术问题研究.doc》由会员分享,可在线阅读,更多相关《Web服务安全性测试技术问题研究.doc(6页珍藏版)》请在三一文库上搜索。
1、Web服务安全性测试技术问题研究1969年互联网在美国诞生,1994年我国与国际互联网成功连接,标志着我国互联网步入新时代。经过20多年的发展,我国的互联网实现了从无到有,并且规模越来越大,现已经成为世界第二大网络大国。据中国互联网络发展状况统计报告(中国互联网络信息中心2016年1月22日第37次权威发布)显示,截至2015年12月,我国网民规模达6.88亿,互联网普及率达50.3%,半数中国人已接入互联网。伴随着互联网的快速发展,以社交网络、电子商务等为代表的Web服务正在深刻地改变着人们的生活方式,甚至影响着整个社会发展进程。 1 Web服务的基本概念及组成 Web服务作为一种远程访问的
2、标准,具有松散耦合、平台无关、交互性、语言中立等优点,通常作为分布式应用实现的技术基础。Web应用系统组成十分复杂,正因为其复杂组件和彼此间复杂的关系,所以才能为用户提供强大服务。Web应用系统核心组件包括用户接口代码、前端系统、服务器软件、后台系统、数据库系统等。 2 Web服务安全性测试的重要意义 Web应用当前已经成为软件开发的重要组成部分。由于开发人员技术水平有限或者安全意识比较薄弱,每一个Web系统自身都存在着一定的安全漏洞,并在使用过程中逐渐暴露出来,入侵者就可能利用漏洞到Web应用上进行恶意攻击。Web系统中有大量信息,其中许多信息涉及个人隐私或是企业关键性业务等,一旦Web服务
3、安全性出了问题,可能会给个人或企业造成重大损失和带来严重后果。虽然当前入侵检测、防火墙等技术已经相对成熟,可以为Web系统提供一定的安全防护,但是对Web应用的恶性攻击大多来自于应用层,完全解决各种安全性问题的难度非常大。在此情况下,Web服务安全性测试具有重大现实意义。 3 Web应用安全漏洞 Web应用安全漏洞是指一个Web系统的所有组件在设计、实现或者操作和管理中存在的可能被入侵者利用的缺陷和弱点。常见的Web应用安全漏洞主要有以下8个类别。 3.1 未被验证的输入 入侵者通过篡改HTTP请求越过站点安全机制,主要包括缓冲区溢出、跨站点脚本、SQL注入、格式化字符串攻击等输入篡改攻击方式
4、。HTTP请求主要包括查询字符串、Cookie、HTTP头部、URL、表单等。 3.2 SQL注入 SQL注入是最普遍、最严重的Web应用安全漏洞。入侵者通过在输入域中插入某些特殊字符,完全改变SQL查询的自身功能,欺骗数据库服务器进行非法操作,从而达到破坏数据库或非法获取数据清单的目的。 3.3 跨站点脚本 入侵者在Web浏览器客户端通过页面提交的输入数据嵌入恶意代码,如果服务器不经过滤或转义直接将这些数据返回,那么这些恶意代码在其他用户访问该Web页面时将被执行,从而实现其恶意攻击的目的。 3.4 缓冲区溢出 入侵者利用缓冲区溢出漏洞向Web应用发送特定请求,使目标Web应用执行其设定的代
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Web 服务 安全性 测试 技术 问题 研究
链接地址:https://www.31doc.com/p-1581323.html