兩位應(yīng)用程序安全專家正在研究一種方法，通過集成應(yīng)用程序數(shù)據(jù)流圖和其他通常由軟件質(zhì)量保證測(cè)試人員使用的信息來(lái)對(duì)Web應(yīng)用程序測(cè)試進(jìn)行優(yōu)化?！　?/P>

上周三，惠普公司網(wǎng)絡(luò)安全研究小組的Rafal Los和Matt Wood在波士頓舉行的2010年SOURCE會(huì)議上提出了一套新的測(cè)試過程。他們表示，他們提出的新過程就目前而言過于復(fù)雜還無(wú)法執(zhí)行，但最終將合并到一個(gè)自動(dòng)化的工具中?！　?/P>

Wood說，“我們正在試圖采用一些人的要素，并把它更多的融合到掃描工具中”?！　?/P>

Los表示，在很長(zhǎng)一段時(shí)間內(nèi)，網(wǎng)絡(luò)應(yīng)用程序滲透測(cè)試人員慢慢的已經(jīng)不能發(fā)揮多大的作用。網(wǎng)絡(luò)應(yīng)用程序安全掃描工具減少了用來(lái)檢測(cè)和識(shí)別出現(xiàn)在JavaScript、AJAX以及其他現(xiàn)代編碼技術(shù)中漏洞位置的時(shí)間，但到目前越發(fā)復(fù)雜的應(yīng)用程序也導(dǎo)致能測(cè)試出的攻擊點(diǎn)越來(lái)越少?！　?/P>

Los說，“在測(cè)試高度復(fù)雜的應(yīng)用程序時(shí)，目前的安全分析工具已經(jīng)不夠用了。網(wǎng)絡(luò)應(yīng)用程序越復(fù)雜，自動(dòng)化測(cè)試所占的比例就越低，除非我們能對(duì)其做點(diǎn)什么。而這正是我們現(xiàn)在所做的事情?！薄　?/P>

這兩位研究人員研發(fā)出了一個(gè)他們稱為 “基于執(zhí)行流”的方法來(lái)進(jìn)行應(yīng)用程序安全測(cè)試。他們利用來(lái)自質(zhì)量評(píng)價(jià)測(cè)試員的數(shù)據(jù)，來(lái)映射網(wǎng)絡(luò)應(yīng)用程序中所有攻擊點(diǎn)的位置，以更好地了解一個(gè)應(yīng)用程序怎么發(fā)揮作用，更重要的是，數(shù)據(jù)流是怎么通過它的。Los表示，一旦安全測(cè)試者擁有這些數(shù)據(jù)，他們就可以迅速深入探尋一個(gè)特定的區(qū)域，并找出能造成更多風(fēng)險(xiǎn)的漏洞。 　　

Los說，“質(zhì)量評(píng)價(jià)團(tuán)隊(duì)一般都熟悉被測(cè)試的應(yīng)用程序，他們測(cè)試的是熟悉實(shí)物中某些理應(yīng)測(cè)試的部分。他們會(huì)告訴你，他們已經(jīng)測(cè)試了整個(gè)應(yīng)用程序的所有功能?！薄　?/P>

這兩位研究人員把他們的處理過程稱作一個(gè)激進(jìn)的測(cè)試方法，其數(shù)據(jù)需求和功能路徑被用于創(chuàng)建一個(gè)執(zhí)行流圖，以了解一個(gè)應(yīng)用程序的關(guān)鍵業(yè)務(wù)邏輯層。這一過程將導(dǎo)致以函數(shù)為基礎(chǔ)的自動(dòng)化測(cè)試。該技術(shù)可以幫助測(cè)試人員識(shí)別改變應(yīng)用程序文檔流的行為，或者改變應(yīng)用程序狀態(tài)的行為。那些可以修改文檔狀態(tài)的間接流量和外部數(shù)據(jù)，也被納入其中。　　

例如，在一個(gè)支付頁(yè)面中，Wood說，“當(dāng)一個(gè)用戶選擇美國(guó)運(yùn)通或Visa時(shí)，一個(gè)質(zhì)量評(píng)價(jià)人員會(huì)知道在應(yīng)用程序內(nèi)由于客戶選擇而產(chǎn)生的不同行為，而掃描工具是不會(huì)知道這些事情的?！坝捎趻呙韫ぞ咧荒茉谝粋€(gè)很小攻擊面上識(shí)別錯(cuò)誤，提供應(yīng)用程序流數(shù)據(jù)就可以幫助“優(yōu)化“掃描工具，提高整體的測(cè)試效果?！　?/P>

使用基于流的威脅分析，滲透測(cè)試人員就可以知道在應(yīng)用程序中處理信用卡區(qū)域的兩個(gè)漏洞的處理優(yōu)先級(jí)別應(yīng)該高于產(chǎn)品瀏覽區(qū)域的漏洞。研究人員表示，該過程還可以幫助提高安全性測(cè)試的可靠性，而程序安全團(tuán)隊(duì)往往要在很短的時(shí)間內(nèi)對(duì)應(yīng)用程序進(jìn)行測(cè)試?！　?/P>

Los問，“如果你只有24小時(shí)，并且有250萬(wàn)行代碼需要進(jìn)行功能測(cè)試，那么你如何才能辦到呢？”

【編輯推薦】

1. 專為復(fù)雜web環(huán)境設(shè)計(jì)的安全掃描器UnisWebScanner
2. 看WEB應(yīng)用防火墻的網(wǎng)站整體防護(hù)解決方案