明鉴Web安全灰盒测试平台产品简介

1 产品背景
Internet发展到今天,基于Web和数据库架构的应用系统已经逐渐成为主流,广泛应用于企业内部和外部的业务系统中。大多数企业目前的应用系统开发主要采取软件外包和自主研发相结合的模式,然而外包团队和公司的研发团队大多以满足功能为主,对于应用软件的安全意识不足,已经被许多信息安全组织标识为严重软件安全的漏洞了解不足,或者了解深度不够,从而造成他们在编码的时候没有考虑到部分软件安全漏洞或者在安全漏洞的预防方面不够彻底和充分。因此在他们的项目中存在着许多诸如 SQL注入、XSS跨站脚本等安全漏洞。
当然大多数企业也已经采用多种漏洞发现设备,但是传统纯白盒测试需要源代码,对测试人员有很高的要求,更无法测试逻辑顺序关联的问题,误报率和漏报率极高。而只是使用纯黑盒测试,则存在覆盖率不足的问题,测试结果很难反馈真正的问题和深层次的问题,仍然有机会被黑客找到漏洞入侵。
2 产品介绍
明鉴Web安全灰盒测试平台(以下简称“灰盒测试平台”)正是帮助用户用于针对应用开发生命周期质保测试阶段的高级安全测试,采用创新技术能发现黑客可能会进行攻击的安全漏洞,测评人员无需掌握专业的Web应用程序安全测试技术,能够在安全测试阶段发现Web应用程序的安全性,完全自动化的将功能与安全测试结合,大大减少测试时间和提高项目进度。明鉴Web安全灰盒测试平台还能提供以测评人员可以理解的方式详细报告应用的安全状态,报告内容包括完成的漏洞详细信息及关于漏洞的描述、加固建议,以提供开发人员进行安全整改,同时,详细丰富的漏洞知识库还能提供测评人员对漏洞的理解和应用。
3 主要功能
3.1 Web漏洞检测:
灰盒测试在传统黑盒安全测试的基础上,引入了代码安全测试技术,实现功能和安全混合测试,不同于传统的黑盒安全测试,甚至将电话号码、Email信息等信息类也归为漏洞信息。
灰盒测试则目标更为明确,着重针对紧急高危漏洞进行安全测试,包括:
· 跨站脚本漏洞
· Sql注入漏洞
· 命令注入漏洞
· 任意文件读取漏洞
· 任意文件写入漏洞
· 任意文件删除漏洞
· XXE-XML实体注入漏洞
· JSP文件包含漏洞
· 转发、重定向漏洞
· Struts2远程代码执行漏洞
· HTTP响应头注入漏洞
· 服务器端请求伪造漏洞
· Freemaker服务端模板注入漏洞
· Velocity服务端模板注入漏洞
· Spring EL表达式漏洞
· JAVA反序列化漏洞
3.2 功能测试辅助
一个完成的Web应用测试除了安全性,功能性也是最为关键的一个测试项,如果一个应用程序存在无效的链接不仅影响用户的功能使用,在正式上线后也同样影响搜索引擎排名。在做灰盒测试的同时,灰盒引擎会将404页面整理输出,可供开发人员及时修改。

图1 架构示意图

4 产品特点
4.1 深度扫描:
安全测试人员在做功能测试时会将每个功能点都进行浏览测试,灰盒引擎将自动收集测试人员的访问浏览记录,解决黑盒扫描可能无法爬行、无法解析到的页面,从而达到深度扫描。
4.2 自由测试:
灰盒引擎不会主动发包遍历整个Web目录,从而提高Web应用的可用性,根据测试人员的访问浏览记录进行漏洞测试,做到自由测试,随时停止扫描任务。
4.3 专利技术
通过部署在Web服务器端的灰盒Agent,监控Web中间件关键函数,平台通过Fuzzing的方式进行验证测试,实现对Web应用的代码安全分析,从而有效解决传统黑盒测试覆盖率不高、漏洞发现少、测试效率低等根本问题。
该产品源自安恒研究院专利技术<一种基于Java的Web动态安全漏洞检测方法(ZL 2013 1 0631280.1)>,安恒信息高级研究员郑国祥(Struts2的S2-029,S2-032,S2-045,S2-046等漏洞的发现者)参与研发,提供核心技术实现。
4.4 支持全面
灰盒Agent无关中间件平台,全面支持Java项目的Web应用程序,协助测试人员从功能测试开始即可发现安全漏洞,满足软件安全开发生命周期(SDL)。

图2 产品界面

5 产品价值
1:解决无回显漏洞(存储型XSS、SQL无回显注入等)的检测瓶颈,提高高危漏洞发现率;
2:检测速度快而准确,避免发送无用的数据包导致扫描时间过长;
3:测试人员无需掌握专业的Web应用安全测试技术,也可结合功能测试进行安全测试;
4:解决复杂业务逻辑的爬虫问题导致的漏报误报问题;
5:协助功能测试人员快速定位不存在的坏链、死链页面。