[发明专利]应用程序安全测试

说明书

背景技术

软件安全测试被用来识别应用程序（例如Web应用程序）中的漏洞。用于基于Web的软件的传统黑盒子安全测试通过使用安全测试应用程序来工作，经常被称作扫描仪，其伪装成攻击者。在黑盒子方法中，扫描仪通过作出HTTP请求并估计HTTP响应来探查被测试的应用程序（AUT）以便找到所有URL（在此处AUT接受输入）。AUT在此处接受输入的URL可以涉及AUT的攻击表面。于是扫描仪基于攻击表面和可能的漏洞类别生成攻击。扫描仪通过估计程序的HTTP响应来应用攻击以诊断漏洞的存在或不存在。在黑盒子方法中，扫描仪对AUT的内部工作不具有任何洞察力。

黑盒子漏洞测试在概念上是易懂的，但是在实践中其提出一些挑战。例如，探查AUT可能不揭示所有攻击表面，因此扫描仪可能不对AUT易受伤害的所有地方发起攻击。另外，一些漏洞不能通过在HTTP响应中返回的信息被准确地识别。如果扫描仪未发现漏洞，扫描仪就不能提供关于漏洞在AUT的代码内何处的信息。此外，扫描仪可以报告都与在AUT中相同潜在的问题相关的几个漏洞，引起程序员设法修补漏洞以完成大量的重复工作。

附图说明

在下面详细的描述中并且参考附图来描述某些实施例，其中：

图1是根据实施例的可以被用来进行灰盒子安全测试的系统的框图；

图2是示出根据实施例的用于进行灰盒子安全测试的测试系统配置的框图；

图3是根据实施例的执行灰盒子安全测试的方法的过程流程图；和

图4是示出根据实施例的存储被配置为进行灰盒子安全测试的代码的非暂时性计算机可读介质的框图。

具体实施方式

在本文描述的实施例提供用于执行Web应用程序的灰盒子安全测试的技术。在灰盒子安全测试中，在本文中被称作观测器的软件程序被用来观察由AUT执行的内部操作。观测器使得扫描仪能够确定AUT的操作和其响应攻击如何表现。观测器也使得扫描仪能够确定AUT响应于正常应用程序请求的行为，扫描仪可以使用其来确定发送何种类型的攻击。扫描仪继续向AUT传递攻击，并且扫描仪从观测器接收AUT的内部工作的知识。这样，扫描仪能找到更多漏洞并且产生更好的漏洞报告，从而提供基于web的应用程序的更加全面和详细的软件安全测试。

根据实施例，在观测器和扫描仪之间提供通信信道。扫描仪使用这个通信信道来在其扫描期间深入了解AUT。可以通过使用已经由AUT使用的通信信道来实施在扫描仪和观测器之间的通信信道。这样，进行测试的人不必执行另外的配置或者设置工作，并且通信信道不干扰AUT或者在其上运行AUT的计算机系统的正常操作。本发明的另外的益处可以参照下面提供的描述而被更好地理解。

图1是根据实施例的可被用来进行灰盒子安全测试的系统的框图。系统通常由参考数字100来指代。本领域普通技术人员将领会到在图1中示出的功能块和装置可以包括包含电路的硬件元件，包含在非暂时性机器可读介质上存储的计算机代码的软件元件，或者硬件和软件元件两者的结合。此外，配置不局限于在图1中示出的配置，因为在本发明的实施例中可以使用任何数目的功能块和装置。基于对具体电子装置的涉及考虑，本领域普通技术人员将容易地能够定义具体的功能块。

如在图1中所示，系统100可以包括计算装置102，其通常将包括通过总线106连接到显示器108的处理器104，键盘110，和一个或多个输入装置112，例如鼠标，触摸屏，或键盘。在实施例中，计算装置102是通用计算装置，例如台式计算机，膝上型计算机，服务器等。计算装置102也可以具有一种或多种类型的非暂时性计算机可读介质，例如可以在各种操作程序（包括在本发明的实施例中使用的操作程序）的执行期间使用的存储器114。存储器114可以包括只读存储器（ROM），随机存取存储器（RAM）等。装置102也可以包括其它非暂时性计算机可读介质，例如用于操作程序和数据（包括在本发明的实施例中使用的操作程序和数据）的长期存储的存储系统116。

在实施例中，计算装置102包括网络接口控制器（NIC）118，用于将装置102连接到服务器120。计算装置102可以通过网络122，例如因特网，局域网（LAN），广域网（WAN），或者其它网络配置被通信地耦合到服务器120。服务器120可以具有非暂时性计算机可读介质，例如存储装置，用于存储数据，缓冲通信，和存储服务器120的操作程序。可以使用请求响应协议例如超文本传输协议（HTTP）来进行在装置102和服务器120之间的通信。