研究人員致力于智能化Web應用程序安全掃描工具

兩位應用程序安全專家正在研究一種方法，通過集成應用程序數據流圖和其他通常由軟件質量保證測試人員使用的信息來對Web應用程序測試進行優化。

上周三，惠普公司網絡安全研究小組的Rafal Los和Matt Wood在波士頓舉行的2010年SOURCE會議上提出了一套新的測試過程。他們表示，他們提出的新過程就目前而言過于復雜還無法執行，但最終將合并到一個自動化的工具中。

Wood說，“我們正在試圖采用一些人的要素，并把它更多的融合到掃描工具中”。

Los表示，在很長一段時間內，網絡應用程序滲透測試人員慢慢的已經不能發揮多大的作用。網絡應用程序安全掃描工具減少了用來檢測和識別出現在JavaScript、AJAX以及其他現代編碼技術中漏洞位置的時間，但到目前越發復雜的應用程序也導致能測試出的攻擊點越來越少。

Los說，“在測試高度復雜的應用程序時，目前的安全分析工具已經不夠用了。網絡應用程序越復雜，自動化測試所占的比例就越低，除非我們能對其做點什么。而這正是我們現在所做的事情。”

這兩位研究人員研發出了一個他們稱為 “基于執行流”的方法來進行應用程序安全測試。他們利用來自質量評價測試員的數據，來映射網絡應用程序中所有攻擊點的位置，以更好地了解一個應用程序怎么發揮作用，更重要的是，數據流是怎么通過它的。Los表示，一旦安全測試者擁有這些數據，他們就可以迅速深入探尋一個特定的區域，并找出能造成更多風險的漏洞。

Los說，“質量評價團隊一般都熟悉被測試的應用程序，他們測試的是熟悉實物中某些理應測試的部分。他們會告訴你，他們已經測試了整個應用程序的所有功能。”

這兩位研究人員把他們的處理過程稱作一個激進的測試方法，其數據需求和功能路徑被用于創建一個執行流圖，以了解一個應用程序的關鍵業務邏輯層。這一過程將導致以函數為基礎的自動化測試。該技術可以幫助測試人員識別改變應用程序文檔流的行為，或者改變應用程序狀態的行為。那些可以修改文檔狀態的間接流量和外部數據，也被納入其中。

例如，在一個支付頁面中，Wood說，“當一個用戶選擇美國運通或Visa時，一個質量評價人員會知道在應用程序內由于客戶選擇而產生的不同行為，而掃描工具是不會知道這些事情的。“由于掃描工具只能在一個很小攻擊面上識別錯誤，提供應用程序流數據就可以幫助“優化“掃描工具，提高整體的測試效果。

使用基于流的威脅分析，滲透測試人員就可以知道在應用程序中處理信用卡區域的兩個漏洞的處理優先級別應該高于產品瀏覽區域的漏洞。研究人員表示，該過程還可以幫助提高安全性測試的可靠性，而程序安全團隊往往要在很短的時間內對應用程序進行測試。

Los問，“如果你只有24小時，并且有250萬行代碼需要進行功能測試，那么你如何才能辦到呢？”
如果有需要服務器的租用與托管的敬請聯系QQ：１５０１２８１７５８（億恩星辰）　　　聯系電話：０３７１—６３３２２２２０

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]