研究人員致力于智能化Web應(yīng)用程序安全掃描工具

兩位應(yīng)用程序安全專家正在研究一種方法，通過集成應(yīng)用程序數(shù)據(jù)流圖和其他通常由軟件質(zhì)量保證測試人員使用的信息來對Web應(yīng)用程序測試進行優(yōu)化。

上周三，惠普公司網(wǎng)絡(luò)安全研究小組的Rafal Los和Matt Wood在波士頓舉行的2010年SOURCE會議上提出了一套新的測試過程。他們表示，他們提出的新過程就目前而言過于復(fù)雜還無法執(zhí)行，但最終將合并到一個自動化的工具中。

Wood說，“我們正在試圖采用一些人的要素，并把它更多的融合到掃描工具中”。

Los表示，在很長一段時間內(nèi)，網(wǎng)絡(luò)應(yīng)用程序滲透測試人員慢慢的已經(jīng)不能發(fā)揮多大的作用。網(wǎng)絡(luò)應(yīng)用程序安全掃描工具減少了用來檢測和識別出現(xiàn)在JavaScript、AJAX以及其他現(xiàn)代編碼技術(shù)中漏洞位置的時間，但到目前越發(fā)復(fù)雜的應(yīng)用程序也導(dǎo)致能測試出的攻擊點越來越少。

Los說，“在測試高度復(fù)雜的應(yīng)用程序時，目前的安全分析工具已經(jīng)不夠用了。網(wǎng)絡(luò)應(yīng)用程序越復(fù)雜，自動化測試所占的比例就越低，除非我們能對其做點什么。而這正是我們現(xiàn)在所做的事情。”

這兩位研究人員研發(fā)出了一個他們稱為 “基于執(zhí)行流”的方法來進行應(yīng)用程序安全測試。他們利用來自質(zhì)量評價測試員的數(shù)據(jù)，來映射網(wǎng)絡(luò)應(yīng)用程序中所有攻擊點的位置，以更好地了解一個應(yīng)用程序怎么發(fā)揮作用，更重要的是，數(shù)據(jù)流是怎么通過它的。Los表示，一旦安全測試者擁有這些數(shù)據(jù)，他們就可以迅速深入探尋一個特定的區(qū)域，并找出能造成更多風(fēng)險的漏洞。

Los說，“質(zhì)量評價團隊一般都熟悉被測試的應(yīng)用程序，他們測試的是熟悉實物中某些理應(yīng)測試的部分。他們會告訴你，他們已經(jīng)測試了整個應(yīng)用程序的所有功能。”

這兩位研究人員把他們的處理過程稱作一個激進的測試方法，其數(shù)據(jù)需求和功能路徑被用于創(chuàng)建一個執(zhí)行流圖，以了解一個應(yīng)用程序的關(guān)鍵業(yè)務(wù)邏輯層。這一過程將導(dǎo)致以函數(shù)為基礎(chǔ)的自動化測試。該技術(shù)可以幫助測試人員識別改變應(yīng)用程序文檔流的行為，或者改變應(yīng)用程序狀態(tài)的行為。那些可以修改文檔狀態(tài)的間接流量和外部數(shù)據(jù)，也被納入其中。

例如，在一個支付頁面中，Wood說，“當一個用戶選擇美國運通或Visa時，一個質(zhì)量評價人員會知道在應(yīng)用程序內(nèi)由于客戶選擇而產(chǎn)生的不同行為，而掃描工具是不會知道這些事情的。“由于掃描工具只能在一個很小攻擊面上識別錯誤，提供應(yīng)用程序流數(shù)據(jù)就可以幫助“優(yōu)化“掃描工具，提高整體的測試效果。

使用基于流的威脅分析，滲透測試人員就可以知道在應(yīng)用程序中處理信用卡區(qū)域的兩個漏洞的處理優(yōu)先級別應(yīng)該高于產(chǎn)品瀏覽區(qū)域的漏洞。研究人員表示，該過程還可以幫助提高安全性測試的可靠性，而程序安全團隊往往要在很短的時間內(nèi)對應(yīng)用程序進行測試。

Los問，“如果你只有24小時，并且有250萬行代碼需要進行功能測試，那么你如何才能辦到呢？”
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]