51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 4079|回复: 4
打印 上一主题 下一主题

[原创] 请教一下,如何进行网页防篡改系统的测试

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2009-8-19 11:18:26 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
请教一下,如何进行网页防篡改系统的测试?另外什么是网页防篡改系统?测试该系统要从哪些方面着手?先在此谢谢了!!
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
发表于 2009-8-19 12:02:40 | 只看该作者
不太了解哦。
回复 支持 反对

使用道具 举报

  • TA的每日心情
    开心
    2017-9-20 12:50
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]测试小兵

    3#
    发表于 2009-8-19 14:46:21 | 只看该作者
    随着越来越多的企事业单位高度重视WEB应用安全尤其是网站安全,对WEB应用安全产品尤其是网页防篡改产品的需求持续升温,各式各样的网页防篡改产品大量涌现。面对如此众多的网页防篡改产品,如何判定一个产品是否能够真正实现网页防篡改?成为一件令用户感到头疼的事情。

      公众浏览到的Web网页可以分成静态网页和动态网页:

      — 静态网页是Web服务器上的网页文件(如html文件)直接反馈给公众;

      — 动态网页是Web服务器上的脚本文件(如jsp文件)经过执行后,将其执行的结果反馈给公众,脚本通常会读取数据库中的数据,因此最后生成的网页可以认为是脚本文件和数据库内容的综合。

      因此从理论上讲,网页防篡改系统所需要保护的网页,按上述描述可以归结于保护文件(无论是静态网页文件还是脚本文件)和保护数据库。

      目前主流的网页防篡改产品中,保护文件主要使用两种技术,一种是以核心内嵌为基础的数字水印技术,该技术在文件发布时生成数字水印(单向鉴别散列值),在文件每次被Web服务器访问(含执行)时检查数字水印,并对结果进行相应处理。数字水印技术有着密码学理论基础,使用的HMAC-MD5算法也是RFC标准。这个技术不去猜测和防范文件被篡改的原因和手段,而是在其对外产生作用时进行完整性检查。该技术在安全上非常可靠,也有着广泛的应用基础。
      
      另一种是以事件触发技术,利用操作系统的文件系统或驱动程序接口,在网页文件的被修改时进行合法性检查,对于非法操作进行报警和恢复。事件触发技术具有报警实时化的优点,对一些操作系统上的常规攻击手段有着一定的防护效果。但由于事件触发技术将安全保障建立在“网页不可能被隐秘地篡改”这种假设上,因此也没有对网页流出进行任何检查,在一些情形下(具体情形见下文),公众是有可能访问到被篡改网页的。虽然事件触发方式无法作到每一个网页在访问时都进行实时检测,也无法针对所有的攻击手段和操作系统漏洞起作用,但仍可以作为对核心内嵌检测技术的一种有益补充。

      保护数据库主要使用应用防护技术,该技术对每个来自于网络的Web请求进行检查,根据已有的特征库判断是否含有攻击特性(目前主要是注入式攻击),如有攻击特性则立即阻止和报警。目前,应用防护技术不仅被网页防篡改系统广泛采用,它还是其他应用安全产品(如:应用防火墙、漏洞扫描器)的核心技术之一。但是,应用防护技术需要预先搜集和分析黑客攻击Web的手段,有针对性的进行基于特征库或攻击行为的防范,是一种类似于防病毒软件的手段,目前就技术而言,更是一种实践的技术而非一种理论的技术,存在误判和漏判的可能。

      因此,一个有效的网页防篡改系统必须达到以下两个方面的要求:

      1. 实现对网页文件的完整性检查和保护,并达到100%的防护效果,即被篡改网页不可能被访问到。

      2. 实现对已知的来自于Web的数据库攻击手段的防范。

      上述两方面要求,都可以通过一些简便的测试方法,进行测试,例如:文件保护可以通过直接修改Web服务器上的文件,再用浏览器访问该文件来测试是否达到了100%可靠的防护效果;数据库保护则可以通过一些黑客工具(NBSI、HDSI等等)对受保护网站进行模拟攻击
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    4#
     楼主| 发表于 2009-8-19 17:20:12 | 只看该作者
    感谢楼上前辈的回答,现在对网页防篡改系统有了一些了解了。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-9-20 12:50
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]测试小兵

    5#
    发表于 2009-8-19 17:30:23 | 只看该作者
    我也是从网上搜的。呵呵,我也不懂,看了一遍也了解一下,呵呵
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-18 08:41 , Processed in 0.065902 second(s), 25 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表