兩位應用程序安全專家正在研究一種方法，通過集成應用程序數(shù)據(jù)流圖和其他通常由軟件質(zhì)量保證測試人員使用的信息來對Web應用程序測試進行優(yōu)化?！　?/P>

上周三，惠普公司網(wǎng)絡安全研究小組的Rafal Los和Matt Wood在波士頓舉行的2010年SOURCE會議上提出了一套新的測試過程。他們表示，他們提出的新過程就目前而言過于復雜還無法執(zhí)行，但最終將合并到一個自動化的工具中。　　

Wood說，“我們正在試圖采用一些人的要素，并把它更多的融合到掃描工具中”?！　?/P>

Los表示，在很長一段時間內(nèi)，網(wǎng)絡應用程序滲透測試人員慢慢的已經(jīng)不能發(fā)揮多大的作用。網(wǎng)絡應用程序安全掃描工具減少了用來檢測和識別出現(xiàn)在JavaScript、AJAX以及其他現(xiàn)代編碼技術(shù)中漏洞位置的時間，但到目前越發(fā)復雜的應用程序也導致能測試出的攻擊點越來越少。　　

Los說，“在測試高度復雜的應用程序時，目前的安全分析工具已經(jīng)不夠用了。網(wǎng)絡應用程序越復雜，自動化測試所占的比例就越低，除非我們能對其做點什么。而這正是我們現(xiàn)在所做的事情?！薄　?/P>

這兩位研究人員研發(fā)出了一個他們稱為 “基于執(zhí)行流”的方法來進行應用程序安全測試。他們利用來自質(zhì)量評價測試員的數(shù)據(jù)，來映射網(wǎng)絡應用程序中所有攻擊點的位置，以更好地了解一個應用程序怎么發(fā)揮作用，更重要的是，數(shù)據(jù)流是怎么通過它的。Los表示，一旦安全測試者擁有這些數(shù)據(jù)，他們就可以迅速深入探尋一個特定的區(qū)域，并找出能造成更多風險的漏洞。 　　

Los說，“質(zhì)量評價團隊一般都熟悉被測試的應用程序，他們測試的是熟悉實物中某些理應測試的部分。他們會告訴你，他們已經(jīng)測試了整個應用程序的所有功能。”　　

這兩位研究人員把他們的處理過程稱作一個激進的測試方法，其數(shù)據(jù)需求和功能路徑被用于創(chuàng)建一個執(zhí)行流圖，以了解一個應用程序的關(guān)鍵業(yè)務邏輯層。這一過程將導致以函數(shù)為基礎的自動化測試。該技術(shù)可以幫助測試人員識別改變應用程序文檔流的行為，或者改變應用程序狀態(tài)的行為。那些可以修改文檔狀態(tài)的間接流量和外部數(shù)據(jù)，也被納入其中?！　?/P>

例如，在一個支付頁面中，Wood說，“當一個用戶選擇美國運通或Visa時，一個質(zhì)量評價人員會知道在應用程序內(nèi)由于客戶選擇而產(chǎn)生的不同行為，而掃描工具是不會知道這些事情的?！坝捎趻呙韫ぞ咧荒茉谝粋€很小攻擊面上識別錯誤，提供應用程序流數(shù)據(jù)就可以幫助“優(yōu)化“掃描工具，提高整體的測試效果?！　?/P>

使用基于流的威脅分析，滲透測試人員就可以知道在應用程序中處理信用卡區(qū)域的兩個漏洞的處理優(yōu)先級別應該高于產(chǎn)品瀏覽區(qū)域的漏洞。研究人員表示，該過程還可以幫助提高安全性測試的可靠性，而程序安全團隊往往要在很短的時間內(nèi)對應用程序進行測試?！　?/P>

Los問，“如果你只有24小時，并且有250萬行代碼需要進行功能測試，那么你如何才能辦到呢？”

【編輯推薦】

1. 專為復雜web環(huán)境設計的安全掃描器UnisWebScanner
2. 看WEB應用防火墻的網(wǎng)站整體防護解決方案