Applying Web Server to Analyze the Limitations of Web Application Vulnerability Scanners.pdf

1、Web應(yīng)用程序漏洞掃描器是一個(gè)由網(wǎng)管人員和安全專(zhuān)家用于預(yù)防和檢測(cè)漏洞的工具，常見(jiàn)漏洞如SQL注入、跨站點(diǎn)腳本，和跨站點(diǎn)請(qǐng)求偽造?，F(xiàn)在的大量網(wǎng)絡(luò)攻擊都可以部分的歸因于這一事實(shí)，即網(wǎng)站管理員沒(méi)有使用web應(yīng)用程序漏洞掃描器去掃描網(wǎng)站中的漏洞。由于缺少正確的安全防范，網(wǎng)絡(luò)攻擊威脅已成為一個(gè)真正的并且不斷發(fā)展的危害。因?yàn)閣eb應(yīng)用程序的漏洞，每年有成千上萬(wàn)的企業(yè)和個(gè)人數(shù)據(jù)被破壞和丟失。本文提出了一種方法，該方法可以分析網(wǎng)站的漏洞，并對(duì)那些極受歡

2、迎的商業(yè)和自由/開(kāi)放源碼的web應(yīng)用程序漏洞掃描器的局限性進(jìn)行研究，通過(guò)使用定制的安全與不安全兩個(gè)版本的web應(yīng)用程序作為實(shí)驗(yàn)對(duì)象。本文實(shí)現(xiàn)了一項(xiàng)重大的改進(jìn)，即使用上述方法讓web應(yīng)用程序掃描技術(shù)減少誤判（假陽(yáng)率）和遺漏（假陰率）的漏洞結(jié)果的數(shù)目。
　　這些掃描工具已經(jīng)被發(fā)現(xiàn)具有缺陷和局限性。研究表明，web應(yīng)用程序漏洞掃描器并不能始終檢測(cè)到漏洞和攻擊媒介，也無(wú)法給予有效措施來(lái)保障web應(yīng)用程序的安全。這些工具將漏洞，諸如SQL注

3、入、跨站點(diǎn)腳本(XSS)和跨站點(diǎn)請(qǐng)求偽造(CSRF)，插入到準(zhǔn)備好的web應(yīng)用程序中。本文得到的實(shí)驗(yàn)結(jié)果表明，使用我們提出的原型可以保證許多流行的開(kāi)源web應(yīng)用程序的安全，并且不會(huì)影響這些程序的行為。第一個(gè)web應(yīng)用程序是由作者自己開(kāi)發(fā)和設(shè)計(jì)的，因此，該工具可以生成一個(gè)web應(yīng)用程序的有漏洞版本。該工具將跨站點(diǎn)腳本(XSS)和跨站點(diǎn)請(qǐng)求偽造(CSRF)漏洞注入到該web應(yīng)用程序中。這個(gè)工具的目的是生成一些能夠生成用以訓(xùn)練滲透測(cè)試人員報(bào)告

4、的web應(yīng)用程序。此外，該工具可以用來(lái)注入一些漏洞，這些漏洞無(wú)法被目前的免費(fèi)web應(yīng)用程序漏洞掃描器檢測(cè)到，但可以被滲透測(cè)試人員檢測(cè)到。本文得出的實(shí)驗(yàn)結(jié)果證明，使用本文提出的原型可以保障大量的流行的開(kāi)源web應(yīng)用程序的安全，同時(shí)不會(huì)對(duì)這些程序的行為造成消極影響。
　　Web應(yīng)用程序漏洞，例如跨站點(diǎn)腳本、跨站點(diǎn)請(qǐng)求偽造和SQL注入，這些是當(dāng)今互聯(lián)網(wǎng)最為緊迫的安全問(wèn)題。事實(shí)上，web應(yīng)用程序漏洞是廣泛存在的，占了常見(jiàn)的漏洞和隱患數(shù)據(jù)庫(kù)

5、[1]漏洞報(bào)告中的很大一部分;它們經(jīng)常成為自動(dòng)攻擊的目標(biāo);而且，如果成功利用此漏洞，會(huì)進(jìn)行受到嚴(yán)重的攻擊，如數(shù)據(jù)外泄和隱蔽強(qiáng)迫下載的攻擊。在這項(xiàng)研究中，這種情況下的web應(yīng)用程序的安全測(cè)試顯得至關(guān)重要。
　　本文討論的三類(lèi)攻擊是特別常見(jiàn)且極具破壞力的安全漏洞。在SQL注入(SQLI)中，攻擊者通過(guò)利用從用戶到數(shù)據(jù)庫(kù)的驗(yàn)證不充分的數(shù)據(jù)流執(zhí)行惡意數(shù)據(jù)庫(kù)語(yǔ)句。在跨站點(diǎn)腳本(XSS)中，攻擊者利用驗(yàn)證不充分的輸出到HTML的數(shù)據(jù)流，在受害

6、者的計(jì)算機(jī)上執(zhí)行惡意代碼;同時(shí)，跨站點(diǎn)請(qǐng)求偽造(CSRF)允許攻擊者在用戶不知情的情況下，執(zhí)行未經(jīng)授權(quán)的語(yǔ)句。一個(gè)攻擊請(qǐng)求利用瀏覽器為每個(gè)請(qǐng)求附加有效會(huì)話信息的事實(shí)。因此，首先在瀏覽器尋找攻擊的跡象，并采取適當(dāng)?shù)男袆?dòng)。這些漏洞的目標(biāo)雖然各不相同，一個(gè)漏洞運(yùn)行不受信任的代碼，而另一個(gè)漏洞可能用于劫持身份驗(yàn)證，但當(dāng)這些漏洞攻擊結(jié)合，其聯(lián)合起來(lái)的危害是非常巨大的。
　　事實(shí)上，我已經(jīng)創(chuàng)造了一個(gè)用于識(shí)別SQLI，XSRF和XSS漏洞的新的

7、技術(shù)，通過(guò)在虛擬仿真環(huán)境下實(shí)現(xiàn)了一些web安全漏洞工具，用以發(fā)現(xiàn)web應(yīng)用程序中攻擊者精心設(shè)計(jì)的代碼，其中這些web應(yīng)用程序是我為真實(shí)生活場(chǎng)景開(kāi)發(fā)的。該技術(shù)可應(yīng)用于未修改的現(xiàn)有代碼中，并能創(chuàng)建有暴露漏洞的具體輸入，該技術(shù)運(yùn)行于軟件被部署之前，對(duì)發(fā)布的軟件而言沒(méi)有額外開(kāi)銷(xiāo)，它通過(guò)分析應(yīng)用程序內(nèi)部的代碼來(lái)發(fā)現(xiàn)易受攻擊的代碼。作為我的技術(shù)實(shí)現(xiàn)，我在PHP/MySQL應(yīng)用程序上部署幾個(gè)安全工具，這些自動(dòng)化工具可用于發(fā)現(xiàn)SQLI、XSRF和XSS

8、攻擊。Web應(yīng)用程序掃描器事實(shí)上在本文中用于漏洞的發(fā)現(xiàn)（在實(shí)際情況中，web應(yīng)用程序掃描器通常被定位為“點(diǎn)擊”滲透測(cè)試的工具）。在過(guò)去的幾年中，他們已成為了一些標(biāo)準(zhǔn)中一項(xiàng)要求，最明顯的就是在支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)中。然而，web應(yīng)用程序掃描器有局限性。
　　本論文很專(zhuān)業(yè)的應(yīng)用web服務(wù)器測(cè)試平臺(tái)來(lái)分析web應(yīng)用程序漏洞掃描器在虛擬的仿真環(huán)境中的局限性。此外，本論文的每一章使用可靠的等效目標(biāo)的子標(biāo)題來(lái)包含具體描述主題的結(jié)構(gòu)性啟發(fā)。按

9、時(shí)間順序，這篇高度專(zhuān)業(yè)的安全相關(guān)的論文提供如下所需的結(jié)構(gòu)，以確保在其內(nèi)容的完整性。本文第一章的概述更加廣泛，包括了背景介紹、研究動(dòng)機(jī)、問(wèn)題陳述、文中常用術(shù)語(yǔ)的定義、全文組織、主要貢獻(xiàn)和總結(jié)。第二章包含3個(gè)重要的文獻(xiàn)綜述小節(jié)(2.1，2.2，2.3)，強(qiáng)調(diào)了用在這個(gè)研究中的web漏洞攻擊基本上都是生動(dòng)具體的，并且在工程實(shí)例中有經(jīng)常被提到的跡象。因此，通過(guò)揭示在正常的工作環(huán)境中開(kāi)發(fā)的具體因素，2.1節(jié)的SQL注入(SQLI)攻擊方案會(huì)在不同

10、的部分被闡述。在仿真環(huán)境中，我專(zhuān)門(mén)開(kāi)發(fā)了一個(gè)獨(dú)立網(wǎng)站，故意在源代碼中生成了一些漏洞，用于找出SQL注入式攻擊。導(dǎo)致了另一個(gè)web相關(guān)應(yīng)用程序產(chǎn)生預(yù)防方法，均以書(shū)面形式和編程方式實(shí)現(xiàn)。兩個(gè)web相關(guān)的系統(tǒng)出于安全和非安全的目的被建創(chuàng)建。2.2節(jié)對(duì)跨站點(diǎn)請(qǐng)求偽造(XSRF)攻擊的分析和預(yù)防技術(shù)進(jìn)行了解釋?zhuān)缯菊?qǐng)求偽造漏洞和保護(hù)機(jī)制是最容易被忽視的事實(shí)，保護(hù)機(jī)制是關(guān)于對(duì)任何web應(yīng)用程序保護(hù)的最高行動(dòng)指南。2.3節(jié)闡明跨站點(diǎn)腳本(XSS)攻擊

11、及在開(kāi)發(fā)中的促成因素。該節(jié)用許多例子來(lái)展示，用單個(gè)的解釋來(lái)描述在不同的維度中跨站點(diǎn)腳本(CSS)攻擊的類(lèi)型。同時(shí)還提出了預(yù)防機(jī)制，以減少攻擊的復(fù)發(fā)。第三章(3)包含了研究方法、相關(guān)研究、研究設(shè)計(jì)和數(shù)據(jù)需求。這一節(jié)還特別闡述web應(yīng)用程序漏洞掃描器的商業(yè)版和試用版以及應(yīng)用于學(xué)術(shù)界的專(zhuān)有web應(yīng)用程序漏洞掃描器。在這一部分中，利用本文研究中使用的圖形量化的掃描器，可以定性的比較掃描器檢測(cè)功能。第四章描述了性能結(jié)果和分析，特別是達(dá)了web漏洞

12、掃描器的結(jié)果量化分析統(tǒng)計(jì)數(shù)據(jù)的細(xì)節(jié)。對(duì)于突出的漏洞(SQL注入、跨站腳本和跨站請(qǐng)求偽造)，掃描器性能的局限性被嚴(yán)格地表達(dá)，以求得到最有意義的結(jié)果，并且還進(jìn)行了全面的分析。第五章最后包括了結(jié)論和未來(lái)的工作，以及引用、致謝、縮寫(xiě)表和附錄。
　　此外，為了讓實(shí)驗(yàn)?zāi)軌颢@得具有實(shí)際意義的結(jié)果，自變量、因變量和控制變量都需要進(jìn)行適當(dāng)?shù)倪x擇。在這個(gè)測(cè)試方法中，web服務(wù)器相關(guān)技術(shù)保持不變（控制變量），修改故意構(gòu)造的漏洞的數(shù)量（自變量）。通過(guò)確定

13、web服務(wù)器不改變和改變故意構(gòu)造的漏洞數(shù)量，最終那些被web應(yīng)用程序漏洞掃描器發(fā)現(xiàn)和忽略的漏洞（因變量）都將被觀察到和分析到。這個(gè)方法提供了一組假陽(yáng)率（誤判）和假陰率（遺漏）的結(jié)果，通過(guò)分析這些數(shù)據(jù)，可以發(fā)現(xiàn)是什么原因造成了錯(cuò)誤結(jié)果。
　　使用單一試驗(yàn)平臺(tái)的web服務(wù)器是有利的，因?yàn)樗峁┑囊粋€(gè)受控制的web應(yīng)用程序環(huán)境將保持不變，并且在測(cè)試過(guò)程中保持一致性。如果使用不一致的方法，web漏洞掃描器測(cè)試的那些web應(yīng)用程序?qū)⒂兄黠@

14、不同數(shù)量的頁(yè)面、服務(wù)器端技術(shù)和其他層面的復(fù)雜性，其后的分析將難以完成。保證實(shí)驗(yàn)中其他因素不變，只需關(guān)注web漏洞掃描技術(shù)的缺陷，而無(wú)需擔(dān)心問(wèn)題是由于其他因素造成的。服務(wù)器技術(shù)Wampserver(windows、Apache、MySQL和PHP)保持不變，但故意構(gòu)造的漏洞的數(shù)量將被修改。由于所使用的源代碼是我自己開(kāi)發(fā)的，因此預(yù)期的結(jié)果是已知的，不會(huì)存在大量未知數(shù)量的漏洞。在分析web漏洞掃描器方面，該方法是一種非常有效的方法，因?yàn)榭梢詫?duì)

15、漏洞掃描器誤判或遺漏的漏洞進(jìn)行定位。通過(guò)存在于掃描器之中的假陽(yáng)率和假陰率的確切數(shù)字，每一個(gè)掃描器的結(jié)果都將可以確定。
　　這種測(cè)試方法可以從使用黑盒分析和白盒分析中受益。黑盒分析是一種滲透測(cè)試，通過(guò)對(duì)應(yīng)用程序操作的分析來(lái)尋找漏洞。白盒分析是另一個(gè)漏洞檢測(cè)技術(shù)，只有在源代碼可見(jiàn)情況下，才能用來(lái)發(fā)現(xiàn)程序的安全漏洞。
　　本研究提出了一種可行的方法來(lái)發(fā)現(xiàn)web應(yīng)用程序漏洞掃描器的局限性，利用一個(gè)web服務(wù)器測(cè)試平臺(tái)進(jìn)行漏洞檢測(cè)和分

16、析。對(duì)本研究中使用的web應(yīng)用程序漏洞掃描器的選擇，是基于它們能探查到的漏洞數(shù)量和種類(lèi)、檢測(cè)的漏洞的重要性和使用的掃描技術(shù)這三個(gè)方面來(lái)決定的。出于這項(xiàng)研究的需要，我在虛擬仿真環(huán)境中搭建了于Wampserver、Apache、MySQL和PHP框架的web服務(wù)器測(cè)試平臺(tái)，所有用于測(cè)試的web應(yīng)用程序都被部署在該平臺(tái)上。之所以選擇該技術(shù)框架是因?yàn)樗牧餍行院蛷V泛的使用度。每個(gè)web應(yīng)用程序漏洞掃描器都按照規(guī)定方法對(duì)web應(yīng)用程序進(jìn)行測(cè)試，其