自动化Web安全测试的局限及手工测试方法
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
s e c u r i y t t e s t i n g t o o l s , a n d g i v e s t h e me t h o d o f ma n u a l t e s t i n g .
பைடு நூலகம்
Ke y wo r d s : we b s e c u r i y; t a u t o ma t e d we b s e c ri u y t t e s t i n g ; AJ AX; we b s e r v i c e ; ma n u a l s e c u r i t y t e s t i n g
2 0 1 3 年第O 1 期
■ d o i : 1 0 3 9 6 9  ̄i s s n 1 6 7 1 — 1 1 2 2 2 0 1 3 0 1 0 2 1
自动 化 W e b安 全 测 试 的 局限 及手工测 试方法
孙歆 ,韩 嘉佳 ,唐秋杭
( 1 . 浙江省 电力公 司电力科 学研 究院 ,浙江杭 州 3 1 0 0 1 4 ;2 . 浙江省 电力设 计 院,浙江杭 州 3 1 0 0 1 2)
0引言
随着 网银、网购、网游 、 微 博等互联 网应用越来越火爆 ,黑客利用 S Q L注入、文件包含、 We b s h e l l I  ̄ 传、远程命令执行等
手段 控制服务 器 、篡改 网页 、窃取数据 ,给企业 造成重大损失 。所以 We b 安 全防护应 从应用程序编码上去实现,对 HT T P输入 输出数据 进行严格验证 和过滤,从根源上 解决问题 ,不应单纯依赖外部的防护手段。安全测试是发 现 We b安全漏洞的有效手段 , 从黑盒 的角度发送安 全测试 向量,通过 目标系统的返回数 据判断系统 是否存在安全 问题 。本文分析了几种 自 动化 We b安全测试 工具 的漏 报情况 ,并给出相应 的手工测试方案 。
Di s c u s s i o n o n t he Li mi t s o f Au t o ma t e d We b Se c ur i t y T e s t i ng To o l s a n d
Ma n u a l T e s t i n g Me t h o d
手 工测试 方案。
关 键词 : we b 安全;自 动化 we b 安 全测试 ;NA X;We b s e r v i c e ;手工安 全测试 中图 分类 号 :T P 3 9 3 . 0 8 文献 标识 码 :A 文 章编 号 :1 6 7 1 — 1 1 2 2( 2 0 1 3 )O 1 — 0 0 7 9 — 0 3
摘 要 :如 今 We b 安 全 已受到 企业 的极 大关 注 ,市面上 的 自 动 化 We b 安 全测试 工具 也层 出不 穷。 由于
自 动4  ̄ - r - 具在检 测过 程 中存 在 漏报 现 象 ,故 完全信 任 自动化 工具的检 测结 果往往会 造成 测试 不全 面、严重 漏
洞 未检 出等 情 况 ,给 企业 带 来风险 。 文章探 讨 自动化 W e b安全 测试 工具 漏报 情 况及其 原理 ,并 给 出相 关 的
Abs t r a c t : No wa d a ys We b s e c ur i t y h a s be e n a g r e a t c o nc e r n. We c a n in f d v a r i e t i e s o f a u t o ma t e d We b s e c u r i t y t e s t i ng t o o l s on t he ma r k e t .But a ut o ma t e d t o ol s ma y pr od u c e f a l s e n e ga t i v e s .I f we f ul l y t r u s t t he r e s ul t s o f a u t o ma t e d t o o l s ,i t wi l l c a us e a n i n c o mp r e h e n s i v e t e s t i n g o r s e r i o us v ul n e r a bi l i t i e s n o t de t e c t e d whi c h wi l l b r i ng is r ks t o t h e o r ga ni z a t i o n. Th i s pa pe r d i s c us s e s t he f a l s e n e ga t i v e p he no me no n a n d i t ’ S p r i nc i pl e s o f a u t o ma t e d We b
S UN Xi n , HA N J i a - j i a , T A NG Qi u — h a n g
(1 . Z J PE PCEl e c t r i cP o we r R e s e a r c hI n s t i t u t e , Ha n g z h o uZ h e j i a n g 3 1 0 0 1 4 , C h i n a , " 2 . Z h  ̄i a n gE l e c t r i cP o we r De s i g nI n s t i t u t e , Ha n g z h o uZ h  ̄i a n g3 1 0 0 1 2 , C h i n a)