张冠阳

摘要：当今社会，互联网应用已然已经普及，而在互联网应用中，Web应用的地位又是不可或缺，说其是互联网中的第一大应用毫不过分，但根据我国关于互联网安全监测数据及其他统计来看，Web应用安全存在不少问题，Web安全性问题一直在电脑信息领域属于关键性问题，也是当今领域的热点问题，关于Web的发展，目前在安全应用方面的内容少之又少，相关研究工作的开展较为困难，因此本文的着重点是以Web应用安全为基础，展开一系列评测方法的讨论，从多个不同方面进行关于Web安全评测工具的原理介绍及其功能说明，希望可以帮助更多的互联网用户解决棘手问题。

关键词：应用安全：Web：技术研究

1引言

正如上述所讲，互联网Web应用是个重点问题，不管从统计数据来看，还是在网络前三应用排名位置来看，Web应用都以占比68%的TCP流量遥遥领先，但是同时我们也都了解，Web的本质特点是带有开放性因素，也具备基本用户自行操作特点，笔者通过一定调查发现，Web应用安全问题有90%以上的用户都面临过，其一时系统本身的漏洞问题，其二是75%以上还面临被恶意攻击的局面。此种形式还在以较为明显的趋势上升，于是本文进行了关于Web应用安全评测方法的研究，也对其常用的评测工具展开了一系列介绍。

2 基于安全性Web评测措施概述

关于早期的Web应用，主要是依靠设计者自身的水平给予一定的保证，对其进行安全性方面的监测也主要以黑箱测试的方式为主，其监测原理为，不需要知晓权健具体情况，只需要模拟一些实际工作环境即可，是要可以保证在真实环境下Web应用可操作，就算是检测成功。但正由于系统集合的庞大性，所以只要根据不同软件的功能实行针对性操作就算是完成了测试。总结一下就是黑箱操作可以不用源代码进行，由于Web应用也是随时代更新进步的，所以现在关于Web的安全监测，方式也越来越多，（1）可以提出更多的安全模式框架，让设计人员按照框架进行程序设置，来保证Web安全性（2）可使用白箱测试方式，在现下已有程序模式的基础上，检查是否存在新的漏洞。总的来说，在源代码基础上进行人工分析，可保证程序的正确性。同时也可以在某些疑点上，再进行针对性的研究测试。机器分析也是一种可靠方式，让其进行漏洞位置的检查。但是由于白箱操作耗时耗力，比较话费精力，所以当下Web安全性评测主要还是依附于两种方式，即融合两种模式一起，将白箱与黑箱进行漏洞类型的全面覆盖，现在的商用Web应用安全评测软件，就是使用的这一方式。软件方法采用的是特征字符串法。

从总体情况来看，Web在应用方面的漏洞无非就是逻辑与技术两种，当下的多数进行漏洞检测的机器都只能进行技术漏洞分析，程序上的逻辑，很难予以理解，所以还是要依靠实际方法来保证程序逻辑上的安全性，这些内容都是需要设计师来完成的。

在日益更新的今天，Web安全监测方法越来越多，进步点有（1）白箱操作越来越多，这正是他因为大家已经意识到黑箱的不足，白箱检测的准确性已然是优势。（2）由于环境发展也在改变为分布式，所以在大规模应用Web情况下，用单一工作站方式来完成项目已然不太可能，所以必须进行计算机能力提升，把协同检测手段快速的发展起来（3）现在这种程序员参与检测的方式是非常精准，但从效率上说，将人工智能大批引入到程序的分析工作中來，不管是时间成本，还是高效率，都是结果提升的表现。当下主要问题就在于设计模式的匮乏，所以必须要借助于大量的人工劳力进行模式设计，并且要更多的去发现Web安全性攻击模式，这当然也是非常繁琐费力的事情。所以笔者认为，随着监测方式的完善，加之不断提升的工作站水平，用计算机来完成这项工作应该不是难题，完全可以考虑黑白箱合作操作，加以人工辅助，制作出一整套完善的Web应用安全测试，这套流程大致可分以下几点内容（1）把源代码填入黑箱，分析出更多错误信息，让安全性错误漏洞暴露出更多的类型和位置（2）人工分析黑箱信息，这样可以更好的应用于对白箱操作的指导工作，以便日后更多的分析出其他漏洞的具体信息（3）这些漏洞信息都可加以利用，使其变成典型案例，或者完成类测样本的自动生成工作。见图1。

3 其他Web评测工具的概述

因技术因素和时长因素的限制性，虽然目前市面上有很多关于Web安全性评测的软件，但都没有一个固定规范来系统化这套流程，想要切切实实进行Web应用方面的技术规范，需要思索更多的步骤，例如（1）认真进行Web站点内容的整体设计审查，找出更多不同脚本漏洞（2）分析源代码，找出站点不完善部分，如缓冲区溢出、SQL注入等内容（3）评估Web网站部署，用模拟攻击的方式对站内用户进行安全弱点的入侵，查看是否有信息泄露，或者出现类似于认证不充分这类内容。

Nikto也是一款非常有名且使用率高的安全扫描工具，其利用4个基本模块内容组成了插件式结构，它们对于Web检测也具有核心引擎、插件扫描、规则库、底层通信模块等检测功能，具有可靠性。同时在Nikto这款软件中，主要的任务也都是插件来完成的，例如，在目前市面上的Nikto2.0的软件版本中，代理服务器的设置，对数据库等库内数据的分析解读，对一些配置好的文件内容展开一系列的执行任务，以及一些端口的快速扫描等，这些都属于Nikto的核心功能内容范畴。

规则库通常采用的格式为CSV，用此格式来进行电脑及软件文本文件的保存，Nikto2.0的规则库也随着信息的更新换代，从最初仅有的五个增加到后来的八个，用户甚至可在规则库的规模上进行调整到自定义状态，也可随意进行原有规则库的插入。规则库还可以与扫描插件一起进行更新，一旦电脑中有发现新的漏洞，或者有带有新规则自定义的规则库产生，用户都可将其提交到Nikto站上，与站内其他使用者展开用户体验交流。

4 结语

高速发展的今日，信息技术越发更新换代，对其各项程序软件的安全性检测，也一直是使用者们深思熟虑的问题，希望可以在今后得到妥善解决。

参考文献

[1]张敏，林盛.大学生对即时通讯软件使用行为的影响因素研究[J].上海管理科学，2016，38（4）：66⁃70.

[2]莫足琴.移动网络下高可靠即时通信系统的研究与应用[J].现代电子技术，2016，39（13）：23⁃26.

[3]谢佳华，刘军.无线网络通信覆盖优化仿真研究[J].计算机仿真，2015，32（6）：271⁃275.

[4]郭庭跃，杨德仕.基于 P2P 网络模型的即时通信软件的研究与设计[J].中原工学院学报，2016，27（1）：92⁃95.