[发明专利]WEB应用评估方法

说明书

技术领域

本发明涉及信息安全领域，具体而言，涉及一种WEB应用评 估方法。

背景技术

互联网发展到今天，基于WEB和数据库架构的应用系统已经 逐渐成为主流，广泛应用于企业内部和外部的业务系统中。目前网 络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应 用自身弱点的攻击，其中最常见的攻击技术就是针对WEB应用的 SQL注入和钓鱼攻击。

图1示出了IT系统架构图。数据是整个IT系统的核心价值所 在，应用系统是数据的最直接、最前沿的表现方式和交互平台。数 据的采集、获取、更新和加工基本都是在应用系统中实现的，应用 系统对于IT的价值由此可见一斑。

伴随着各种安全规范的完善，安全技术的发展，安全产品的成 熟，新的攻击和漏洞发掘技术也在不断地发展和被发现，攻击领域 有从传统的网络和主机层面上升到了应用层面的趋势。

应用系统的弱点和传统的网络系统弱点有着明显的不同：

1.没有统一性

操作系统或者网络由于其提供商有限，所以其弱点大部分集中 在几种类型之上，一般情况下，厂商都会提供统一的安全补丁或者 解决方案。应用系统则不然，不同的应用系统的开发人员是不一样 的，而且没有两个一模一样的应用系统，不同应用系统中的弱点是 没有共性而言的，每一个应用系统都是唯一的、特有的，所以里面 存在弱点的表现形式也不尽相同。

2.处于最高层

传统的安全防护方法(例如防火墙、入侵检测等)对于应用中 弱点无能为力，这是由应用系统的功能属性所决定的。应用系统的 弱点存在于OSI模型的最高层，而传统的安全产品都是工作在3-4 层的，从这一点来说，传统安防产品对于应用的安全问题是没有任 何帮助的。

现有对应用系统弱点的评估主要集中有以下几种方法：

1、文档分析

评估这阅读应用系统的开发文档，根据其经验指出可能存在的 弱点。这种方法的不足之处在于对评估者自身的要求很高，主观意 识和经验成为弱点发现的主要因素；另外，通过这种方法发现的弱 点通常都是模糊的，无法准确定位弱点的位置，也无法客观地说明 可能由此带来的危害。

2、渗透性测试

渗透性测试能对应用系统中存在的弱点进行深度发现，并且能 直观地展现可能带来的风险。但是由于渗透测试的目的在于发现系 统中的最脆弱路径，所以决定了渗透测试无法发现全部或者大部分 的弱点。渗透测试适合评价一个应用系统的最高风险状况，但是无 法提供全局的弱点描述和分析。

3、代码分析

代码分析通过对代码的阅读可以很具体、详细地发现里面存在 的各种安全隐患和弱点。但是代码分析所花费的时间和人力代价巨 大，对于大中型的系统来说，实施的可能性几乎为零。

在实现本发明过程中，发明人发现以上现有技术的评估方法都 不适用于对IT应用系统的评估。

发明内容

本发明旨在提供一种WEB应用评估方法，能够解决现有技术 中评估方法都不适用于对IT应用系统的评估的问题。

在本发明的实施例中，提供了一种WEB应用评估方法，包括 以下步骤：

扫描WEB应用系统，以获取WEB应用系统的弱点；

通过弱点对WEB应用系统的后台数据库进行安全基线审计；

综合扫描和审计的结果来对WEB应用系统进行渗透式测试， 以评估WEB应用系统的安全现状。

因为采用上述技术方案，所以克服了现有技术中评估方法都不 适用于对IT应用系统的评估的问题，进而实现了如下技术效果：

1.精确扫描的功能：

可自动遍历整个WEB架构，实现深度扫描功能；可自动分析 应用系统的代码，并验证发现的弱点；可针对不同数据库的特点尝 试进行数据获取，证明漏洞的存在；扫描结果准确，误报和漏报率 低；

2.强大的审计功能：

可基于检测出的弱点对数据库进行基线安全配置审计，对数据 字典进行获取，对用户帐号进行强度权限和强度分析等；

3.灵活的渗透测试：

提供高效、可靠的渗透测试框架，可定制渗透测试方法，在框 架的支持下进行检测。

附图说明