专利名称:白黑盒结合的Web应用安全检测方法
技术领域:
本发明属于信息安全领域,具体涉及一种白黑盒结合的Web应用安全检测方法。
背景技术:
互联网应用的不断创新与发展极大地促进了社会的进步和人类文明的发展,已成为当今社会发展的主要动力之一。信息与网络安全也面临着前所唯有的严峻问题,网络安全领域所面临的挑战日益严峻,网络安全问题也日益被人们重视。通常意义上的网络安全的最大威胁是Web应用程序上的漏洞,目前Web应用程序漏洞检测主要分为黑盒测试与白盒测试这两大类。黑盒测试主要是对Web应用程序运行时进行的测试,其检测依赖外部环境和测试用例,具有一定的不确定性,但是具有误报率低的优点。在对Web应用程序的日常功能测试时,安全部分以黑盒测试为主,主要是对以下Web平台测试中主要需要关注的各类型安全问题。XSS跨站脚本攻击,XSS又叫CSS,英文缩写为Cross Site Script,中文意思为跨站脚本攻击,具体内容指的是恶意攻击者往Web应用系统页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。SQL注入问题,Web应用系统的代码中,经常会出现未对用户输入数据的合法性进行验证的情况,这样让恶意用户有机可乘,用户可以提交数据库语句片段,根据程序返回的结果,甚至是异常信息来获得数据库信息等有用数据,这被称作SQL注入。服务端交互安全问题,这类问题一般原因也是对用户的输入没有进行过滤处理所导致的,经过该漏洞,攻击者可以在服务端执行任意系统命令,来破坏Web应用系统。白盒测试主要是指静态源代码分析技术,对Web应用程序源代码进行逐行分析,使用词法分析、数据流分析、控制流分析等多种分析方法查找出代码安全缺陷,能避免上述不足,但是具有较高的误报率的缺点。数据流分析是一项编译时使用的技术,它能从程序代码中收集程序的语义信息并通过代数的方法在编译时确定变量的定义和使用。数据流分析被用于解决编译优化、程序验证、调试、测试、并行、向量化和串行编程环境等问题。控制流分析的基本方法是标识程序的基本块,构造反映程序控制流程的有向图,分析这个有向图得到控制结构信息。因此,控制流分析建立在两个基本的实体上:基本块和控制流图。词法分析不仅是指能够实现编译器中的语法分析,还包括简单的语法和语义分析。通过对代码进行词法分析,然后从特征数据库里抽取感兴趣的内容进行简单上下文分析,对有问题的位置进行报警。特征数据库包括的主要是会产生安全问题的函数,例如gets, strcpy, printf/sprint/snprintf等。针对不同的目标函数,词法分析会调用不同的处理函数来对危险函数的参数进行分析。
发明内容
为克服上述缺陷,本发明提供了一种白黑盒结合的Web应用安全检测方法,解决对Web应用系统进行白盒测试的高误报率和黑盒测试的无法定位漏洞源代码位置的问题。为实现上述目的,本发明提供一种白黑盒结合的Web应用安全检测方法,其改进之处在于,所述方法包括如下步骤:(I).对Web应用系统进行白盒测试;(2).对Web应用系统进行黑盒测试;(3).通过K进行文件关联;(4).通过S进行文件查找;(5).整体结合测试。本发明提供的优选技术方案中,在所述步骤I中,将W进行部署,得出WS,其中DUT为被测对象。本发明提供的第二优选技术方案中,在所述步骤2中,将B进行部署,得出BS,其中DUT为被测对象。本发明提供的第三优选技术方案中,在所述步骤3中,使用K将WS-nF与PF进行关联,得到RF。本发明提供的第四优选技术方案中,在所述步骤4中,使用S在WS-nF与PF关联的结果KF中,查找BS-nF文件,通过F判断整个过程是否成功。本发明提供的第五优选技术方案中,所述步骤5包括如下步骤:(5-1).部署DUT,通过使用W对DUT进行扫描得出WS,通过使用B对DUT进行扫描得出BS ;(5-2).使用K对取出WS中某个WS_n的文件WS_nF和PF进行文件关联得出KF ;(5-3).使用S对取出BS中某个BS_n的文件BS_nF在KF中进行超找,得出结果F,通过判断F确定整个过程是否成功。与现有技术比,本发明提供的一种白黑盒结合的Web应用安全检测方法,能够通过一定的测试流程,并引入文件关联匹配技术K,实现Web应用系统白黑盒测试结合,解决对Web应用系统进行白盒测试的高误报率和黑盒测试的无法定位漏洞源代码位置的问题。
图1为通过W进行直接检测的逻辑图。图2为通过B进行直接检测的逻辑图。图3为通过W进行直接检测的结果模型图。图4为通过B进行直接检测的结果模型图。图5为通过K将WS-nF与PF进行关联的流程模型图。图6为通过在KF中使用S查找BS-nF文件流程模型图。图7为白黑盒结合的Web应用安全检测方法的流程图。
具体实施例方式对字符进行如下定义:
W:白盒测试。WT:白盒测试所使用到的技术集合,其中的某个技术用WT_n(n = 1,2,3……)表B:黑盒测试。P:检测过程。DUT:被测的目标Web应用系统。C:Web应用系统源代码。PF =Web应用系统源代码文件集合,其中的某个结果用PF_n(n = 1,2,3……)表 WS:白盒测试的结果集合,其中的某个结果用WS_n(n = 1,2,3.....)表示。BS:黑盒测试的结果集合,其中的某个结果用BS-n(n = 1,2,3.....)表示。LS:漏洞集合,其中的某个结果用LS_n(n = 1,2,3.....)表示。WS-nF:白盒测试 结果中的某个漏洞所在的文件。BS-nF:黑盒测试结果中的某个漏洞所在的文件,该漏洞与WS-nF的漏洞类型相同。K:文件关联匹配技术,将白盒和黑盒测试结果关联对黑盒测试结果在源代码文件中进行定位的关键技术。KF:通过K查找出来的关联文件集合,其中的某个结果用KF_n(n= 1,2,3……)表不。S:文件查找技术。F:使用S在KF中是否查找到BS-nF的标识。如图7所示,一种白黑盒结合的Web应用安全检测方法,包括如下步骤:(I).对Web应用系统进行白盒测试;(2).对Web应用系统进行黑盒测试;(3).通过K进行文件关联;⑷.通过S进行文件查找;(5).整体结合测试。在所述步骤I中,将W进行部署,得出WS,其中DUT为被测对象。在所述步骤2中,将B进行部署,得出BS,其中DUT为被测对象。在所述步骤3中,使用K将WS-nF与PF进行关联,得到KF。在所述步骤4中,使用S在WS-nF与PF关联的结果KF中,查找BS_nF文件,通过F判断整个过程是否成功。所述步骤5包括如下步骤:(5-1).部署DUT,通过使用W对DUT进行扫描得出WS,通过使用B对DUT进行扫描得出BS;(5-2).使用K对取出WS中某个WS_n的文件WS_nF和PF进行文件关联得出KF ;(5-3).使用S对取出BS中某个BS_n的文件BS_nF在KF中进行超找,得出结果F,通过判断F确定整个过程是否成功。通过以下实施例对白黑盒结合的Web应用安全检测方法做进一步解释。
对Web应用系统进行白黑盒测试结合技术的主要处理流程为:对Web应用系统进行白盒测试按照图1的W进行直接检测模型的设计结构,将W进行部署,得出WS,其中DUT为被测对象。对Web应用系统进行黑盒测试按照图2的B进行直接检测模型的设计结构,将B进行部署,得出BS,其中DUT为被测对象。通过K进行文件关联按照图5的文件关联基本模型,使用K将WS-nF与PF进行关联,得到KF。通过S进行文件查找按照图6的文件查找基本模型,使用S在WS-nF与PF关联的结果KF中,查找BS_nF文件,通过F判断整个过程是否成功。整体结合测试按照图7的结构,部署DUT,首先通过使用W对DUT进行扫描得出WS,在通过使用B对DUT进行扫描得出BS,然后使用K对取出WS中某个WS_n的文件WS_nF和PF进行文件关联得出KF,最后使用S对取出BS中某个BS-n的文件BS_nF在KF中进行超找,得出结果F,通过判断F确定整个过程是否成功。需要声明的是,本发明内容及具体实施方式
意在证明本发明所提供技术方案的实际应用,不应解释为对本发明保护范围的限定。本领域技术人员在本发明的精神和原理启发下,可作各种修改、等同替换、或改进。但这些变更或修改均在申请待批的保护范围内。
权利要求
1.一种白黑盒结合的Web应用安全检测方法,其特征在于,所述方法包括如下步骤: (1).对Web应用系统进行白盒测试; (2).对Web应用系统进行黑盒测试; (3).通过K进行文件关联; (4).通过S进行文件查找; (5).整体结合测试。
2.根据权利要求1所述的系统,其特征在于,在所述步骤I中,将W进行部署,得出WS,其中DUT为被测对象。
3.根据权利要求1所述的系统,其特征在于,在所述步骤2中,将B进行部署,得出BS,其中DUT为被测对象。
4.根据权利要求1所述的系统,其特征在于,在所述步骤3中,使用K将WS-nF与PF进行关联,得到KF。
5.根据权利要求1所述的系统,其特征在于,在所述步骤4中,使用S在WS-nF与PF关联的结果KF中,查找BS-nF文件,通过F判断整个过程是否成功。
6.根据权利要求1所述的系统,其特征在于,所述步骤5包括如下步骤: (5-1).部署DUT,通过使用W对DUT进行扫描得出WS,通过使用B对DUT进行扫描得出BS ; (5-2).使用K对取出WS中某个WS-n的文件WS_nF和PF进行文件关联得出KF ; (5-3).使用S对取出BS中某个BS-n的文件BS_nF在KF中进行超找,得出结果F,通过判断F确定整个过程是否成功。
全文摘要
本发明提供了一种白黑盒结合的Web应用安全检测方法,包括如下步骤(1)对Web应用系统进行白盒测试;(2)对Web应用系统进行黑盒测试;(3)通过K进行文件关联;(4)通过S进行文件查找;(5)整体结合测试。本发明提供的白黑盒结合的Web应用安全检测方法,解决对Web应用系统进行白盒测试的高误报率和黑盒测试的无法定位漏洞源代码位置的问题。
文档编号G06F11/36GK103116543SQ201310028848
公开日2013年5月22日 申请日期2013年1月25日 优先权日2013年1月25日
发明者范杰, 石聪聪, 余勇, 郭骞, 高鹏, 俞庚申, 蒋诚智, 冯谷 申请人:中国电力科学研究院, 国家电网公司