白黑盒結合的Web應用安全檢測方法

專利名稱：白黑盒結合的Web應用安全檢測方法
技術領域：
本發明屬于信息安全領域，具體涉及一種白黑盒結合的Web應用安全檢測方法。
背景技術：
互聯網應用的不斷創新與發展極大地促進了社會的進步和人類文明的發展，已成為當今社會發展的主要動力之一。信息與網絡安全也面臨著前所唯有的嚴峻問題，網絡安全領域所面臨的挑戰日益嚴峻，網絡安全問題也日益被人們重視。通常意義上的網絡安全的最大威脅是Web應用程序上的漏洞，目前Web應用程序漏洞檢測主要分為黑盒測試與白盒測試這兩大類。黑盒測試主要是對Web應用程序運行時進行的測試，其檢測依賴外部環境和測試用例，具有一定的不確定性，但是具有誤報率低的優點。在對Web應用程序的日常功能測試時，安全部分以黑盒測試為主，主要是對以下Web平臺測試中主要需要關注的各類型安全問題。XSS跨站腳本攻擊，XSS又叫CSS,英文縮寫為Cross Site Script,中文意思為跨站腳本攻擊，具體內容指的是惡意攻擊者往Web應用系統頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執行，從而達到惡意用戶的特殊目的。SQL注入問題，Web應用系統的代碼中，經常會出現未對用戶輸入數據的合法性進行驗證的情況，這樣讓惡意用戶有機可乘，用戶可以提交數據庫語句片段，根據程序返回的結果，甚至是異常信息來獲得數據庫信息等有用數據，這被稱作SQL注入。服務端交互安全問題，這類問題一般原因也是對用戶的輸入沒有進行過濾處理所導致的，經過該漏洞，攻擊者可以在服務端執行任意系統命令，來破壞Web應用系統。白盒測試主要是指靜態源代碼分析技術，對Web應用程序源代碼進行逐行分析，使用詞法分析、數據流分析、控制流分析等多種分析方法查找出代碼安全缺陷，能避免上述不足，但是具有較高的誤報率的缺點。數據流分析是一項編譯時使用的技術，它能從程序代碼中收集程序的語義信息并通過代數的方法在編譯時確定變量的定義和使用。數據流分析被用于解決編譯優化、程序驗證、調試、測試、并行、向量化和串行編程環境等問題。控制流分析的基本方法是標識程序的基本塊，構造反映程序控制流程的有向圖，分析這個有向圖得到控制結構信息。因此，控制流分析建立在兩個基本的實體上:基本塊和控制流圖。詞法分析不僅是指能夠實現編譯器中的語法分析，還包括簡單的語法和語義分析。通過對代碼進行詞法分析，然后從特征數據庫里抽取感興趣的內容進行簡單上下文分析，對有問題的位置進行報警。特征數據庫包括的主要是會產生安全問題的函數，例如gets, strcpy, printf/sprint/snprintf等。針對不同的目標函數,詞法分析會調用不同的處理函數來對危險函數的參數進行分析。

發明內容
為克服上述缺陷，本發明提供了一種白黑盒結合的Web應用安全檢測方法，解決對Web應用系統進行白盒測試的高誤報率和黑盒測試的無法定位漏洞源代碼位置的問題。為實現上述目的，本發明提供一種白黑盒結合的Web應用安全檢測方法，其改進之處在于，所述方法包括如下步驟:(I).對Web應用系統進行白盒測試；(2).對Web應用系統進行黑盒測試；(3).通過K進行文件關聯；(4).通過S進行文件查找；(5).整體結合測試。本發明提供的優選技術方案中，在所述步驟I中，將W進行部署，得出WS，其中DUT為被測對象。本發明提供的第二優選技術方案中，在所述步驟2中，將B進行部署，得出BS，其中DUT為被測對象。本發明提供的第三優選技術方案中，在所述步驟3中，使用K將WS-nF與PF進行關聯，得到RF。本發明提供的第四優選技術方案中，在所述步驟4中，使用S在WS-nF與PF關聯的結果KF中，查找BS-nF文件，通過F判斷整個過程是否成功。本發明提供的第五優選技術方案中，所述步驟5包括如下步驟:(5-1).部署DUT，通過使用W對DUT進行掃描得出WS，通過使用B對DUT進行掃描得出BS ；(5-2).使用K對取出WS中某個WS_n的文件WS_nF和PF進行文件關聯得出KF ；(5-3).使用S對取出BS中某個BS_n的文件BS_nF在KF中進行超找，得出結果F，通過判斷F確定整個過程是否成功。與現有技術比，本發明提供的一種白黑盒結合的Web應用安全檢測方法，能夠通過一定的測試流程，并引入文件關聯匹配技術K，實現Web應用系統白黑盒測試結合，解決對Web應用系統進行白盒測試的高誤報率和黑盒測試的無法定位漏洞源代碼位置的問題。


圖1為通過W進行直接檢測的邏輯圖。圖2為通過B進行直接檢測的邏輯圖。圖3為通過W進行直接檢測的結果模型圖。圖4為通過B進行直接檢測的結果模型圖。圖5為通過K將WS-nF與PF進行關聯的流程模型圖。圖6為通過在KF中使用S查找BS-nF文件流程模型圖。圖7為白黑盒結合的Web應用安全檢測方法的流程圖。
具體實施例方式對字符進行如下定義:
W:白盒測試。WT:白盒測試所使用到的技術集合，其中的某個技術用WT_n(n = 1,2,3……)表B:黑盒測試。P:檢測過程。DUT:被測的目標Web應用系統。C:Web應用系統源代碼。PF =Web應用系統源代碼文件集合，其中的某個結果用PF_n(n = 1,2,3……)表 WS:白盒測試的結果集合，其中的某個結果用WS_n(n = 1,2,3.....)表示。BS:黑盒測試的結果集合，其中的某個結果用BS-n(n = 1,2,3.....)表示。LS:漏洞集合，其中的某個結果用LS_n(n = 1,2,3.....)表示。WS-nF:白盒測試 結果中的某個漏洞所在的文件。BS-nF:黑盒測試結果中的某個漏洞所在的文件，該漏洞與WS-nF的漏洞類型相同。K:文件關聯匹配技術，將白盒和黑盒測試結果關聯對黑盒測試結果在源代碼文件中進行定位的關鍵技術。KF:通過K查找出來的關聯文件集合，其中的某個結果用KF_n(n= 1,2,3……)表不。S:文件查找技術。F:使用S在KF中是否查找到BS-nF的標識。如圖7所示，一種白黑盒結合的Web應用安全檢測方法，包括如下步驟:(I).對Web應用系統進行白盒測試；(2).對Web應用系統進行黑盒測試；(3).通過K進行文件關聯；⑷.通過S進行文件查找；(5).整體結合測試。在所述步驟I中，將W進行部署，得出WS，其中DUT為被測對象。在所述步驟2中，將B進行部署，得出BS，其中DUT為被測對象。在所述步驟3中，使用K將WS-nF與PF進行關聯，得到KF。在所述步驟4中，使用S在WS-nF與PF關聯的結果KF中，查找BS_nF文件，通過F判斷整個過程是否成功。所述步驟5包括如下步驟:(5-1).部署DUT，通過使用W對DUT進行掃描得出WS，通過使用B對DUT進行掃描得出BS；(5-2).使用K對取出WS中某個WS_n的文件WS_nF和PF進行文件關聯得出KF ；(5-3).使用S對取出BS中某個BS_n的文件BS_nF在KF中進行超找，得出結果F，通過判斷F確定整個過程是否成功。通過以下實施例對白黑盒結合的Web應用安全檢測方法做進一步解釋。
對Web應用系統進行白黑盒測試結合技術的主要處理流程為:對Web應用系統進行白盒測試按照圖1的W進行直接檢測模型的設計結構，將W進行部署，得出WS，其中DUT為被測對象。對Web應用系統進行黑盒測試按照圖2的B進行直接檢測模型的設計結構，將B進行部署，得出BS，其中DUT為被測對象。通過K進行文件關聯按照圖5的文件關聯基本模型，使用K將WS-nF與PF進行關聯，得到KF。通過S進行文件查找按照圖6的文件查找基本模型，使用S在WS-nF與PF關聯的結果KF中，查找BS_nF文件，通過F判斷整個過程是否成功。整體結合測試按照圖7的結構，部署DUT，首先通過使用W對DUT進行掃描得出WS，在通過使用B對DUT進行掃描得出BS，然后使用K對取出WS中某個WS_n的文件WS_nF和PF進行文件關聯得出KF，最后使用S對取出BS中某個BS-n的文件BS_nF在KF中進行超找，得出結果F，通過判斷F確定整個過程是否成功。需要聲明的是，本發明內容及具體實施方式
意在證明本發明所提供技術方案的實際應用，不應解釋為對本發明保護范圍的限定。本領域技術人員在本發明的精神和原理啟發下，可作各種修改、等同替換、或改進。但這些變更或修改均在申請待批的保護范圍內。
權利要求
1.一種白黑盒結合的Web應用安全檢測方法，其特征在于，所述方法包括如下步驟: (1).對Web應用系統進行白盒測試； (2).對Web應用系統進行黑盒測試； (3).通過K進行文件關聯； (4).通過S進行文件查找； (5).整體結合測試。
2.根據權利要求1所述的系統，其特征在于，在所述步驟I中，將W進行部署，得出WS，其中DUT為被測對象。
3.根據權利要求1所述的系統，其特征在于，在所述步驟2中，將B進行部署，得出BS，其中DUT為被測對象。
4.根據權利要求1所述的系統，其特征在于，在所述步驟3中，使用K將WS-nF與PF進行關聯，得到KF。
5.根據權利要求1所述的系統，其特征在于，在所述步驟4中，使用S在WS-nF與PF關聯的結果KF中，查找BS-nF文件，通過F判斷整個過程是否成功。
6.根據權利要求1所述的系統，其特征在于，所述步驟5包括如下步驟: (5-1).部署DUT，通過使用W對DUT進行掃描得出WS，通過使用B對DUT進行掃描得出BS ； (5-2).使用K對取出WS中某個WS-n的文件WS_nF和PF進行文件關聯得出KF ； (5-3).使用S對取出BS中某個BS-n的文件BS_nF在KF中進行超找，得出結果F，通過判斷F確定整個過程是否成功。
全文摘要
本發明提供了一種白黑盒結合的Web應用安全檢測方法，包括如下步驟(1)對Web應用系統進行白盒測試；(2)對Web應用系統進行黑盒測試；(3)通過K進行文件關聯；(4)通過S進行文件查找；(5)整體結合測試。本發明提供的白黑盒結合的Web應用安全檢測方法，解決對Web應用系統進行白盒測試的高誤報率和黑盒測試的無法定位漏洞源代碼位置的問題。
文檔編號G06F11/36GK103116543SQ201310028848
公開日2013年5月22日 申請日期2013年1月25日 優先權日2013年1月25日
發明者范杰, 石聰聰, 余勇, 郭騫, 高鵬, 俞庚申, 蔣誠智, 馮谷 申請人:中國電力科學研究院, 國家電網公司