技術(shù)領(lǐng)域

本發(fā)明涉及信息安全領(lǐng)域，具體而言，涉及一種WEB應(yīng)用評 估方法。

背景技術(shù)

互聯(lián)網(wǎng)發(fā)展到今天，基于WEB和數(shù)據(jù)庫架構(gòu)的應(yīng)用系統(tǒng)已經(jīng) 逐漸成為主流，廣泛應(yīng)用于企業(yè)內(nèi)部和外部的業(yè)務(wù)系統(tǒng)中。目前網(wǎng) 絡(luò)中常見的攻擊已經(jīng)由傳統(tǒng)的系統(tǒng)漏洞攻擊逐漸發(fā)展演變?yōu)閷?yīng) 用自身弱點(diǎn)的攻擊，其中最常見的攻擊技術(shù)就是針對WEB應(yīng)用的 SQL注入和釣魚攻擊。

圖1示出了IT系統(tǒng)架構(gòu)圖。數(shù)據(jù)是整個IT系統(tǒng)的核心價(jià)值所 在，應(yīng)用系統(tǒng)是數(shù)據(jù)的最直接、最前沿的表現(xiàn)方式和交互平臺。數(shù) 據(jù)的采集、獲取、更新和加工基本都是在應(yīng)用系統(tǒng)中實(shí)現(xiàn)的，應(yīng)用 系統(tǒng)對于IT的價(jià)值由此可見一斑。

伴隨著各種安全規(guī)范的完善，安全技術(shù)的發(fā)展，安全產(chǎn)品的成 熟，新的攻擊和漏洞發(fā)掘技術(shù)也在不斷地發(fā)展和被發(fā)現(xiàn)，攻擊領(lǐng)域 有從傳統(tǒng)的網(wǎng)絡(luò)和主機(jī)層面上升到了應(yīng)用層面的趨勢。

應(yīng)用系統(tǒng)的弱點(diǎn)和傳統(tǒng)的網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)有著明顯的不同：

1.沒有統(tǒng)一性

操作系統(tǒng)或者網(wǎng)絡(luò)由于其提供商有限，所以其弱點(diǎn)大部分集中 在幾種類型之上，一般情況下，廠商都會提供統(tǒng)一的安全補(bǔ)丁或者 解決方案。應(yīng)用系統(tǒng)則不然，不同的應(yīng)用系統(tǒng)的開發(fā)人員是不一樣 的，而且沒有兩個一模一樣的應(yīng)用系統(tǒng)，不同應(yīng)用系統(tǒng)中的弱點(diǎn)是 沒有共性而言的，每一個應(yīng)用系統(tǒng)都是唯一的、特有的，所以里面 存在弱點(diǎn)的表現(xiàn)形式也不盡相同。

2.處于最高層

傳統(tǒng)的安全防護(hù)方法(例如防火墻、入侵檢測等)對于應(yīng)用中 弱點(diǎn)無能為力，這是由應(yīng)用系統(tǒng)的功能屬性所決定的。應(yīng)用系統(tǒng)的 弱點(diǎn)存在于OSI模型的最高層，而傳統(tǒng)的安全產(chǎn)品都是工作在3-4 層的，從這一點(diǎn)來說，傳統(tǒng)安防產(chǎn)品對于應(yīng)用的安全問題是沒有任 何幫助的。

現(xiàn)有對應(yīng)用系統(tǒng)弱點(diǎn)的評估主要集中有以下幾種方法：

1、文檔分析

評估這閱讀應(yīng)用系統(tǒng)的開發(fā)文檔，根據(jù)其經(jīng)驗(yàn)指出可能存在的 弱點(diǎn)。這種方法的不足之處在于對評估者自身的要求很高，主觀意 識和經(jīng)驗(yàn)成為弱點(diǎn)發(fā)現(xiàn)的主要因素；另外，通過這種方法發(fā)現(xiàn)的弱 點(diǎn)通常都是模糊的，無法準(zhǔn)確定位弱點(diǎn)的位置，也無法客觀地說明 可能由此帶來的危害。

2、滲透性測試

滲透性測試能對應(yīng)用系統(tǒng)中存在的弱點(diǎn)進(jìn)行深度發(fā)現(xiàn)，并且能 直觀地展現(xiàn)可能帶來的風(fēng)險(xiǎn)。但是由于滲透測試的目的在于發(fā)現(xiàn)系 統(tǒng)中的最脆弱路徑，所以決定了滲透測試無法發(fā)現(xiàn)全部或者大部分 的弱點(diǎn)。滲透測試適合評價(jià)一個應(yīng)用系統(tǒng)的最高風(fēng)險(xiǎn)狀況，但是無 法提供全局的弱點(diǎn)描述和分析。

3、代碼分析

代碼分析通過對代碼的閱讀可以很具體、詳細(xì)地發(fā)現(xiàn)里面存在 的各種安全隱患和弱點(diǎn)。但是代碼分析所花費(fèi)的時間和人力代價(jià)巨 大，對于大中型的系統(tǒng)來說，實(shí)施的可能性幾乎為零。

在實(shí)現(xiàn)本發(fā)明過程中，發(fā)明人發(fā)現(xiàn)以上現(xiàn)有技術(shù)的評估方法都 不適用于對IT應(yīng)用系統(tǒng)的評估。

發(fā)明內(nèi)容

本發(fā)明旨在提供一種WEB應(yīng)用評估方法，能夠解決現(xiàn)有技術(shù) 中評估方法都不適用于對IT應(yīng)用系統(tǒng)的評估的問題。

在本發(fā)明的實(shí)施例中，提供了一種WEB應(yīng)用評估方法，包括 以下步驟：

掃描WEB應(yīng)用系統(tǒng)，以獲取WEB應(yīng)用系統(tǒng)的弱點(diǎn)；

通過弱點(diǎn)對WEB應(yīng)用系統(tǒng)的后臺數(shù)據(jù)庫進(jìn)行安全基線審計(jì)；

綜合掃描和審計(jì)的結(jié)果來對WEB應(yīng)用系統(tǒng)進(jìn)行滲透式測試， 以評估WEB應(yīng)用系統(tǒng)的安全現(xiàn)狀。

因?yàn)椴捎蒙鲜黾夹g(shù)方案，所以克服了現(xiàn)有技術(shù)中評估方法都不 適用于對IT應(yīng)用系統(tǒng)的評估的問題，進(jìn)而實(shí)現(xiàn)了如下技術(shù)效果：

1.精確掃描的功能：

可自動遍歷整個WEB架構(gòu)，實(shí)現(xiàn)深度掃描功能；可自動分析 應(yīng)用系統(tǒng)的代碼，并驗(yàn)證發(fā)現(xiàn)的弱點(diǎn)；可針對不同數(shù)據(jù)庫的特點(diǎn)嘗 試進(jìn)行數(shù)據(jù)獲取，證明漏洞的存在；掃描結(jié)果準(zhǔn)確，誤報(bào)和漏報(bào)率 低；

2.強(qiáng)大的審計(jì)功能：

可基于檢測出的弱點(diǎn)對數(shù)據(jù)庫進(jìn)行基線安全配置審計(jì)，對數(shù)據(jù) 字典進(jìn)行獲取，對用戶帳號進(jìn)行強(qiáng)度權(quán)限和強(qiáng)度分析等；

3.靈活的滲透測試：

提供高效、可靠的滲透測試框架，可定制滲透測試方法，在框 架的支持下進(jìn)行檢測。

附圖說明