试论Web应用系统的安全性测试技术

对于Web应用系统安全性的研究还停留在对其服务安全实现的基础上,而安全测试性技术研究较为薄弱。Web应用的逐渐普及让很多技术研究人员对Web应用系统的安全性检测开始重视,很多检测工具被开发出来。基于Web应用系统的安全性测试,分析了Web的组成以及Web服务安全性测试框架,并结合实际工作经验,提出了增强Web应用系统安全性的测试途径。     

Web服务安全性测试技术研究

Web服务的应用越来越广泛,Web服务中的安全缺陷与漏洞也在不断增多,Web服务安全性问题日益突出。Web服务安全性测试是保证Web服务软件安全性、降低安全风险的重要手段。本文提出了一种Web服务安全性测试框架,论述了Web服务主要的安全功能需求、实现标准及实施安全功能测试的一般原理,并从攻击Web服务的角度对Web服务安全漏洞测试进行了系统介绍,分析了Web服务常见的安全漏洞及测试方法。     

Web服务安全性的研究

随着Internet的蓬勃发展,Web服务技术作为一种新的Web应用程序的分支炙手可热,对传统的软件设计产生了巨大的影响,但是对于Web服务的安全领域的研究却不成熟.本文指出了现有安全技术保护Web服务存在的缺点和不足,结合Web服务技术新的安全性需求,提出了基于消息层处理的Web服务安全性模型,并详细介绍了消息处理层的实现方法.采用该模型实现的Web服务安全系统能够提供各种类型的安全服务,具有安全性、可扩展性、服务的透明性、安全的可控性、消息级端对端的安全性等诸多优点.     

Web服务攻击技术研究

Web服务具有平台无关性、动态性、开放性和松散耦合等特征,这给基于异构平台的应用集成带来极大便利,使越来越多的企业使用Web服务。Web服务技术在得到快速发展和应用的同时,它的安全问题越来越重要,成为黑客或者攻击者选择的目标,Web服务提供者对于保证Web服务安全要面临着严峻的考验。文中分析了Web服务攻击技术的特点、原理,讨论了用于攻击基于XML的Web服务的各种技术和目前比较流行的防御措施。进一步讨论了Web服务攻击将来的研究方向以及面临的挑战。     

Web安全性测试技术综述

对Web应用程序进行有效彻底的测试是及早发现安全漏洞、提高Web应用安全质量的一种重要手段。首先介绍了Web应用安全威胁分类,总结了常见的Web应用安全漏洞;然后对当前Web安全性测试技术的研究进行了全面概述,比较了静态技术和动态技术各自的优缺点,同时对在Web安全性测试中新兴涌现的模糊测试技术进行了详细的介绍和总结;最后指出了Web安全测试中有待解决的问题以及未来的研究方向。     

Web服务消息级安全功能测试工具设计与实现

提出一种Web服务安全性测试框架,能有效规范安全性测试过程,增强测试效能。针对Web服务安全功能测试需求定义与测试策划阶段,分析Web服务主要的安全功能需求、实现标准及实施Web服务安全性测试的一般原理。针对测试执行阶段,设计并实现了一个Web服务消息级安全功能测试工具,能够自动生成安全性测试用例,实验表明该工具是适用且有效的。     

应用于Web Service服务接口的自动化测试策略研究及应用

随着计算机技术的不断发展,现代系统面临的软硬件环境越来越复杂,所以在现代的系统和企业中对web Service技术的应用越来越广泛,这就给基于传统系统的自动化测试带来新的挑战。通过研究Web Service技术特点并结合目前自动化测试技术,提出一个针对Web Service服务接口的可行性自动化测试方案,该方案已经在一些大型金融机构系统中得到应用,并取得良好的应用效果。     

基于Java EE应用程序的Web服务安全性分析

随着Web服务技术的不断发展与完善,越来越多的企业开始采用Web服务架构,其安全性问题也显得越发重要。Java EE是Oracle旗下SUN公司开发的Java开发平台,是实现Web服务的主要平台之一。本文首先简要介绍了Java EE的基本概念和一些主要的技术,然后分析了Web服务的安全性问题,重点从设备管理安全、网络设计安全、系统安全、数据安全和网络传输安全5个方面进行了论述。     

面向方面技术在Web服务安全组合中的应用研究

Web服务作为一种通过网络集成分布式异构应用的技术,它提供了一种松散耦合的软件开发模式,实现了粗粒度的软件重用。随着Web服务技术的深入应用,Web服务组合的概念应运而生,它通过将功能相对单一的多个Web服务按照一定粒度进行组合,可提供更为强大的服务功能。由于来自异构环境的不同Web服务实体间安全需求、安全能力、可信任程度间的差异,使得对Web服务组合安全性的研究成为了关注的重点。简述了Web服务组合的主要实现方式,指出了Web服务组合实现中面临的主要安全问题,重点分析了目前面向方面技术在Web服务安全组合实现中的应用,讨论了其实现上的不足及未来的研究动向。     

一种支持可信Web服务的应用框架

Web服务技术给开发基于Web的应用带来了新的机遇和效益，但系统安全性却不利于其应用性。本文通过扩展Web服务安全规范实现了一种支持可信服务的机制．提出了电子商务和电子政务中Web服务安全性的实际解决方案。     

基于指纹识别和CAS的单点登录模型技术研究*

针对普通CAS单点登录模型安全性较差的缺陷,系统地分析了指纹识别和CAS单点登录模型,提出了一个综合两者优势的Web单点登录系统模型FP-CAS,探讨了用户登录流程的实施过程。该模型具有指纹安全系数高、不容易破解和CAS单点登录的多重优点。通过测试和实施表明,该改进模型能更有效地提高Web应用的安全系数,用户信息更加保密,安全与效率兼顾。     

Web应用漏洞扫描系统

首先介绍了Web应用漏洞安全的严峻形式和对漏洞扫描系统的急切需求,接着分析了扫描系统的实现原理,研究和总结了SQL注入漏洞、XSS漏洞、上传文件漏洞等常见漏洞的检测技术.在此基础上,设计了Web应用漏洞扫描系统的各个模块,最后的通过实验结果表明该系统设计的可行性.     

基于规则库和网络爬虫的漏洞检测技术研究与实现

Web技术是采用HTTP或HTTPS协议对外提供服务的应用程序,Web应用也逐渐成为软件开发的主流之一,但Web应用中存在的各种安全漏洞也逐渐暴露出来,如SQL注入、XSS漏洞,给人们带来巨大的经济损失.为解决Web网站安全问题,文章通过对Web常用漏洞如SQL注入和XSS的研究,提出了一种新的漏洞检测方法,一种基于漏洞规则库、使用网络爬虫检测SQL注入和XSS的技术.网络爬虫使用HTTP协议和URL链接来遍历获取网页信息,通过得到的网页链接,并逐步读取漏洞规则库里的规则,构造成可检测出漏洞的链接形式,自动对得到的网页链接发起GET请求以及POST请求,这个过程一直重复,直到规则库里的漏洞库全部读取构造完毕,然后继续使用网络爬虫和正则表达式获取网页信息,重复上述过程,这样便实现了检测SQL注入和XSS漏洞的目的.此方法丰富了Web漏洞检测的手段,增加了被检测网页的数量,同时涵盖了HTTP GET和HTTP POST两种请求方式,最后通过实验验证了利用此技术对Web网站进行安全检测的可行性,能够准确检测网站是否含有SQL注入和XSS漏洞.     

Java Web应用程序安全技术研究

随着网络技术和信息技术的发展,Java Web技术的应用越来越广泛,但是随之而来的安全问题成为了亟需解决的问题。本文对Java Web应用技术所面临的安全威胁做了简单的阐述,并对其做了比较详细和系统的技术分析,指出了相关Web技术存在的漏洞,分析并提出了安全解决方案,为开发安全的Java Web应用程序提供支持。     

Web服务测试的一种实现

随着Web服务技术的不断发展和广泛应用,需要运用测试技术来保障Web服务的正确有效运行。基于ApacheAxis,解析WSDL,用CTM产生有效测试例,实现了Web服务的功能性测试和压力测试,并就安全性测试、授权测试、多个Web服务测试方面还需完善的工作做了进一步探讨和展望。     

中小型网站智能安全检测研究

随着互联网的发展及经济利益的驱动,黑客已将攻击重点转到web应用服务器上,由此危害了服务器安全及客户端安全。针对这一现状,文章首先采用广度优先算法实现网络爬虫来获取目标网站的架构信息;然后用网页动态参数判定、网站架构分析、信息智能识别等技术对网站安全进行辅助检测,用正则表达式过滤非法跨站请求,实现跨站脚本攻击检测;最后,用正则表达式和Python强大的库资源编程实现了应用安全的实时检测和评估功能。实验表明：该系统在一定程度上减少了Web恶意攻击行为所带来的损失,提高了应对网页信息安全突发事件的响应速度。     

云环境下Web应用扫描中的网络爬虫技术探究

在云计算的大环境下,保护服务器端的Web应用安全变得更加重要。weh应用扫描作为预先发现安全问题的重要手段,现已获得广泛的重视。文章提出,对Web应用扫描的研究离不开对网络爬虫技术的研究,网络爬虫能力直接决定了Web应用漏洞扫描的检测覆盖面,文章主要从URL的关系出发来介绍weh应用扫描中使用的网络爬虫技术。     

基于物联网技术的大型建筑安全远程监测系统设计

随着信息技术的发展,大型建筑安全监测研究应用已成为国内外学术界、工程界和管理部门研究的热点之一。文章以物联网技术在建筑安全检测中的应用为重点,设计了一种大型建筑安全远程检测系统,同时介绍了建筑安全检测的内容、技术和常用的传感设备,分析了数据传输协议,给出了数据传输的组网方案及其安全信息处理系统。     

数据交换传输安全模型设计及实现

在WebServices应用中,保证数据交换传输的安全性和完整性非常重要,而当前技术下的WebServices却在安全性方面存在着一些不足。为了保护在WebServices中消息交换的安全传递,文中通过X．509证书实现了WebServices消息签名和加密,阐述了利用WSE3．0构建安全WebServices的方法,设计并实现了一种基于策略的可扩展系统安全架构,其中采用了证书管理、数据同步以及用户校验三种机制。在实现架构的过程中,将安全通信主体分为Web服务端和服务应用端,并通过对系统安全性的分析验证,证明此架构具有良好的安全性。随着信息化技术的发展,安全架构中安全策略的应用会越来越广泛和深入。