白黑盒結(jié)合的Web應(yīng)用安全檢測方法技術(shù)

本發(fā)明專利技術(shù)提供了一種白黑盒結(jié)合的Web應(yīng)用安全檢測方法，包括如下步驟：(1)對Web應(yīng)用系統(tǒng)進行白盒測試；(2)對Web應(yīng)用系統(tǒng)進行黑盒測試；(3)通過K進行文件關(guān)聯(lián)；(4)通過S進行文件查找；(5)整體結(jié)合測試。本發(fā)明專利技術(shù)提供的白黑盒結(jié)合的Web應(yīng)用安全檢測方法，解決對Web應(yīng)用系統(tǒng)進行白盒測試的高誤報率和黑盒測試的無法定位漏洞源代碼位置的問題。

【技術(shù)實現(xiàn)步驟摘要】

本專利技術(shù)屬于信息安全領(lǐng)域，具體涉及一種。
技術(shù)介紹
互聯(lián)網(wǎng)應(yīng)用的不斷創(chuàng)新與發(fā)展極大地促進了社會的進步和人類文明的發(fā)展，已成為當(dāng)今社會發(fā)展的主要動力之一。信息與網(wǎng)絡(luò)安全也面臨著前所唯有的嚴(yán)峻問題，網(wǎng)絡(luò)安全領(lǐng)域所面臨的挑戰(zhàn)日益嚴(yán)峻，網(wǎng)絡(luò)安全問題也日益被人們重視。通常意義上的網(wǎng)絡(luò)安全的最大威脅是Web應(yīng)用程序上的漏洞，目前Web應(yīng)用程序漏洞檢測主要分為黑盒測試與白盒測試這兩大類。黑盒測試主要是對Web應(yīng)用程序運行時進行的測試，其檢測依賴外部環(huán)境和測試用例，具有一定的不確定性，但是具有誤報率低的優(yōu)點。在對Web應(yīng)用程序的日常功能測試時，安全部分以黑盒測試為主，主要是對以下Web平臺測試中主要需要關(guān)注的各類型安全問題。XSS跨站腳本攻擊，XSS又叫CSS,英文縮寫為Cross Site Script,中文意思為跨站腳本攻擊，具體內(nèi)容指的是惡意攻擊者往Web應(yīng)用系統(tǒng)頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。SQL注入問題，Web應(yīng)用系統(tǒng)的代碼中，經(jīng)常會出現(xiàn)未對用戶輸入數(shù)據(jù)的合法性進行驗證的情況，這樣讓惡意用戶有機可乘，用戶可以提交數(shù)據(jù)庫語句片段，根據(jù)程序返回的結(jié)果，甚至是異常信息來獲得數(shù)據(jù)庫信息等有用數(shù)據(jù)，這被稱作SQL注入。服務(wù)端交互安全問題，這類問題一般原因也是對用戶的輸入沒有進行過濾處理所導(dǎo)致的，經(jīng)過該漏洞，攻擊者可以在服務(wù)端執(zhí)行任意系統(tǒng)命令，來破壞Web應(yīng)用系統(tǒng)。白盒測試主要是指靜態(tài)源代碼分析技術(shù)，對Web應(yīng)用程序源代碼進行逐行分析，使用詞法分析、數(shù)據(jù)流分析、控制流分析等多種分析方法查找出代碼安全缺陷，能避免上述不足，但是具有較高的誤報率的缺點。數(shù)據(jù)流分析是一項編譯時使用的技術(shù)，它能從程序代碼中收集程序的語義信息并通過代數(shù)的方法在編譯時確定變量的定義和使用。數(shù)據(jù)流分析被用于解決編譯優(yōu)化、程序驗證、調(diào)試、測試、并行、向量化和串行編程環(huán)境等問題?？刂屏鞣治龅幕痉椒ㄊ菢?biāo)識程序的基本塊，構(gòu)造反映程序控制流程的有向圖，分析這個有向圖得到控制結(jié)構(gòu)信息。因此，控制流分析建立在兩個基本的實體上:基本塊和控制流圖。詞法分析不僅是指能夠?qū)崿F(xiàn)編譯器中的語法分析，還包括簡單的語法和語義分析。通過對代碼進行詞法分析，然后從特征數(shù)據(jù)庫里抽取感興趣的內(nèi)容進行簡單上下文分析，對有問題的位置進行報警。特征數(shù)據(jù)庫包括的主要是會產(chǎn)生安全問題的函數(shù)，例如gets, strcpy, printf/sprint/snprintf等。針對不同的目標(biāo)函數(shù),詞法分析會調(diào)用不同的處理函數(shù)來對危險函數(shù)的參數(shù)進行分析。
技術(shù)實現(xiàn)思路
為克服上述缺陷，本專利技術(shù)提供了一種，解決對Web應(yīng)用系統(tǒng)進行白盒測試的高誤報率和黑盒測試的無法定位漏洞源代碼位置的問題。為實現(xiàn)上述目的，本專利技術(shù)提供一種，其改進之處在于，所述方法包括如下步驟:(I).對Web應(yīng)用系統(tǒng)進行白盒測試；(2).對Web應(yīng)用系統(tǒng)進行黑盒測試；(3).通過K進行文件關(guān)聯(lián)；(4).通過S進行文件查找；(5).整體結(jié)合測試。本專利技術(shù)提供的優(yōu)選技術(shù)方案中，在所述步驟I中，將W進行部署，得出WS，其中DUT為被測對象。本專利技術(shù)提供的第二優(yōu)選技術(shù)方案中，在所述步驟2中，將B進行部署，得出BS，其中DUT為被測對象。本專利技術(shù)提供的第三優(yōu)選技術(shù)方案中，在所述步驟3中，使用K將WS-nF與PF進行關(guān)聯(lián)，得到RF。本專利技術(shù)提供的第四優(yōu)選技術(shù)方案中，在所述步驟4中，使用S在WS-nF與PF關(guān)聯(lián)的結(jié)果KF中，查找BS-nF文件，通過F判斷整個過程是否成功。本專利技術(shù)提供的第五優(yōu)選技術(shù)方案中，所述步驟5包括如下步驟:(5-1).部署DUT，通過使用W對DUT進行掃描得出WS，通過使用B對DUT進行掃描得出BS ；(5-2).使用K對取出WS中某個WS_n的文件WS_nF和PF進行文件關(guān)聯(lián)得出KF ；(5-3).使用S對取出BS中某個BS_n的文件BS_nF在KF中進行超找，得出結(jié)果F，通過判斷F確定整個過程是否成功。與現(xiàn)有技術(shù)比，本專利技術(shù)提供的一種，能夠通過一定的測試流程，并引入文件關(guān)聯(lián)匹配技術(shù)K，實現(xiàn)Web應(yīng)用系統(tǒng)白黑盒測試結(jié)合，解決對Web應(yīng)用系統(tǒng)進行白盒測試的高誤報率和黑盒測試的無法定位漏洞源代碼位置的問題。附圖說明圖1為通過W進行直接檢測的邏輯圖。圖2為通過B進行直接檢測的邏輯圖。圖3為通過W進行直接檢測的結(jié)果模型圖。圖4為通過B進行直接檢測的結(jié)果模型圖。圖5為通過K將WS-nF與PF進行關(guān)聯(lián)的流程模型圖。圖6為通過在KF中使用S查找BS-nF文件流程模型圖。圖7為的流程圖。具體實施例方式對字符進行如下定義:W:白盒測試。WT:白盒測試所使用到的技術(shù)集合，其中的某個技術(shù)用WT_n(n = 1,2,3……)表B:黑盒測試。P:檢測過程。DUT:被測的目標(biāo)Web應(yīng)用系統(tǒng)。C:Web應(yīng)用系統(tǒng)源代碼。PF =Web應(yīng)用系統(tǒng)源代碼文件集合，其中的某個結(jié)果用PF_n(n = 1,2,3……)表 WS:白盒測試的結(jié)果集合，其中的某個結(jié)果用WS_n(n = 1,2,3.....)表示。BS:黑盒測試的結(jié)果集合，其中的某個結(jié)果用BS-n(n = 1,2,3.....)表示。LS:漏洞集合，其中的某個結(jié)果用LS_n(n = 1,2,3.....)表示。WS-nF:白盒測試 結(jié)果中的某個漏洞所在的文件。BS-nF:黑盒測試結(jié)果中的某個漏洞所在的文件，該漏洞與WS-nF的漏洞類型相同。K:文件關(guān)聯(lián)匹配技術(shù)，將白盒和黑盒測試結(jié)果關(guān)聯(lián)對黑盒測試結(jié)果在源代碼文件中進行定位的關(guān)鍵技術(shù)。KF:通過K查找出來的關(guān)聯(lián)文件集合，其中的某個結(jié)果用KF_n(n= 1,2,3……)表不。S:文件查找技術(shù)。F:使用S在KF中是否查找到BS-nF的標(biāo)識。如圖7所示，一種，包括如下步驟:(I).對Web應(yīng)用系統(tǒng)進行白盒測試；(2).對Web應(yīng)用系統(tǒng)進行黑盒測試；(3).通過K進行文件關(guān)聯(lián)；⑷.通過S進行文件查找；(5).整體結(jié)合測試。在所述步驟I中，將W進行部署，得出WS，其中DUT為被測對象。在所述步驟2中，將B進行部署，得出BS，其中DUT為被測對象。在所述步驟3中，使用K將WS-nF與PF進行關(guān)聯(lián)，得到KF。在所述步驟4中，使用S在WS-nF與PF關(guān)聯(lián)的結(jié)果KF中，查找BS_nF文件，通過F判斷整個過程是否成功。所述步驟5包括如下步驟:(5-1).部署DUT，通過使用W對DUT進行掃描得出WS，通過使用B對DUT進行掃描得出BS；(5-2).使用K對取出WS中某個WS_n的文件WS_nF和PF進行文件關(guān)聯(lián)得出KF ；(5-3).使用S對取出BS中某個BS_n的文件BS_nF在KF中進行超找，得出結(jié)果F，通過判斷F確定整個過程是否成功。通過以下實施例對做進一步解釋。對Web應(yīng)用系統(tǒng)進行白黑盒測試結(jié)合技術(shù)的主要處理流程為:對Web應(yīng)用系統(tǒng)進行白盒測試按照圖1的W進行直接檢測模型的設(shè)計結(jié)構(gòu)，將W進行部署，得出WS，其中DUT為被測對象。對Web應(yīng)用系統(tǒng)進行黑盒測試按照圖2的B進行直接檢測模型的設(shè)計結(jié)構(gòu)，將B進行部署，得出BS，其中DUT為被測對象。通過K進行文件關(guān)聯(lián)按照圖5的文件關(guān)聯(lián)基本模型，使用K將WS-nF與PF進行關(guān)聯(lián)，得到KF。通過S進行文件查找按照圖6的文件查找基本模型，使用S在WS-nF與PF本文檔來自技高網(wǎng)...

【技術(shù)保護點】
一種白黑盒結(jié)合的Web應(yīng)用安全檢測方法，其特征在于，所述方法包括如下步驟：(1).對Web應(yīng)用系統(tǒng)進行白盒測試；(2).對Web應(yīng)用系統(tǒng)進行黑盒測試；(3).通過K進行文件關(guān)聯(lián)；(4).通過S進行文件查找；(5).整體結(jié)合測試。

【技術(shù)特征摘要】

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：范杰，石聰聰，余勇，郭騫，高鵬，俞庚申，蔣誠智，馮谷，
申請(專利權(quán))人：中國電力科學(xué)研究院，國家電網(wǎng)公司，
類型：發(fā)明
國別省市：