国际期刊的创新在计算机和通信工程的研究
菜单ISSN在线(2320 - 9801)打印(2320 - 9798)
ISSN在线(2320 - 9801)打印(2320 - 9798)
Ramakrishnan.R1,Anbarasi.J2,Kavitha.V3
|
| 相关文章Pubmed,谷歌学者 |
访问更多的相关文章国际期刊的创新在计算机和通信工程的研究
Web服务是模块化的软件应用程序,它可以描述、发布、定位,并通过网络调用,如了对万维网Web这类服务提供者和使用者之间提供一个简单的接口,支持复杂的软件基础设施通常包括在应用程序服务器、操作系统和外部系统。在这个技术是容易跨站点脚本(XSS)攻击是利用现有的漏洞。在拟议的方法是使用两个安全测试技术渗透测试和故障注入,模仿XSS攻击Web服务。这项技术,结合WSSecurity (WSS)和安全令牌可以识别发送者和保证他们的合法的访问控制交换的SOAP消息。所以我们使用的漏洞扫描器soapUI最公认的渗透测试工具之一。用另一种方式WSInject是一个新的故障注入工具可以介绍Web服务中的错误分析行为的环境不是健壮。因此结果显示使用WSInject soapUI相比可以提高检测的漏洞允许模仿XSS攻击并生成新的类型。
关键字 |
| XSS,注入攻击,java脚本,脚本、ws - security;WSS;安全令牌;soapU我;soapsonar工具。 |
介绍 |
| Web服务产生新的安全挑战。跨站点脚本称为XSS是一种注入攻击拦截信息由用户提供。它的目的是用于存储、修改或删除请求,误导服务器和Web服务的用户。Web服务使用安全性测试技术渗透测试和故障注入。这些技术允许验证:我)漏洞在Web应用程序和服务不同类型的安全攻击如拒绝服务或欺骗攻击;和2)发现新的漏洞被攻击者利用。这两种技术使用工具来分析Web服务中存在的漏洞,并模仿XSS攻击。 |
| 近年来,研究人员已经开发software-implemented故障注入工具的兴趣。软件错误注射技术是有吸引力的,因为他们不需要昂贵的硬件。此外,他们可以使用目标应用程序和操作系统,这是很难与硬件故障注入。使用软件方法注入永久性故障产生的开销高的或者是不可能的,这取决于错。我们也分析Web服务的鲁棒性与ws - security和securitytoken XSS攻击。这些规范是允许授权使用web服务通过认证的用户和其他服务。 |
| 部分的控制网络和捕捉SOAP消息的能力。能力拦截和修改字符串或表达式,延迟或复制消息流量。知识,所有参与者的地位,即攻击者截获消息和取代客户机/服务器或者只是作为中介的客户端和服务器之间的通信(中间人攻击)。攻击者可以识别的访问点,操作和参数的WSDL Web服务测试。 |
 |
| 一个¯·部分的控制网络和捕捉SOAP消息的能力。 |
| 一个¯·能力拦截和修改字符串或表达式,延迟或复制消息流量。 |
| ¯·知识的所有参与者的地位,即攻击者截获消息和取代客户机/服务器或者只是作为中介的客户端和服务器之间的通信(中间人攻击)。 |
| 一个¯·攻击者可以识别的访问点,操作和参数的WSDL Web服务测试。 |
答:现有系统: |
| Web服务可以快速集成应用程序跨多个平台和系统甚至跨业务。Web服务标准SOAP、WSDL和UDDI将使系统对系统通信,比以往任何时候都更容易也更便宜。Web服务是跨网络的分布式和开放的本质,他们更容易受到安全风险而使用。许多研究贡献WS-service测试工具测试web服务,以避免漏洞。在以前的方法使用一些测试工具扫描漏洞的web服务。然而,攻击的变化使得注入脚本(例如JavaScript, VBScriptor Flash脚本),通过它的Web服务。感染每一个用户使用这些Web服务.Due困难找到像XSS漏洞在Web服务,我们应用一个安全测试方法以系统化故障注入和删除Web服务中的漏洞 |
b .提出系统: |
| 该方法利用两个安全测试技术渗透测试和故障注入,效仿XSS攻击Web服务。ws - security指定如何执行消息完整性和机密性,并允许通信等各种安全令牌的SAML, Kerberos和x。主要是使用XML签名和XML加密提供端到端的安全,黑盒建议的方法,我们使用日志存储在信息来源的工具(WS-Inject故障注入器和soap-UI负载测试)包含SOAP消息(请求和响应)。该方法的一个优点是,它依赖于通用的故障注入器的使用,可以用来模拟几种类型的攻击和可能产生变异的,通常是有限的工具通常用于安全测试,漏洞扫描器。 |
| 该步骤,由以下属性: |
| ¯·攻击者能力; |
| 一个¯·模拟攻击的可能性的故障注入工具; |
| 一个¯·攻击的要求运行在web服务; |
| 一个¯·验证如果ws - security保护xss攻击的web服务。 |
二世。文献调查 |
1。WEB服务安全漏洞和威胁WSSECURITY的上下文中。 |
| Web服务(WS)可以描述一个sanXML-based接口,可以使用客户端应用程序调用计算服务的分布式网络中通过标准网络协议。以Web服务成为一个无处不在的技术程序通信在Web服务如何利用公共网络可以妥善保护和安全运输。今天随着形势的出现,大多数web服务不是公开暴露但往往时在公司内部,私人网络。这妨碍了视觉上的web服务可以公开发表在目录可以搜索潜在客户为了找到合适的服务来满足他们的需要。这份报告列出一般的漏洞和威胁是在部署安全的web服务公开。然后继续给简要概述最深刻的安全标准,ws - security,讨论与先前所描述的漏洞和威胁。港口是ws - security的结论是一个有前途的安全标准化工作,可以处理大量的安全问题,特定的web服务。 |
2。改善数据扰动测试WEB服务的技术 |
| 的广泛使用面向服务的体系结构(soa)和Web服务是商业软件所需采用的开发技术确保Web服务的质量。测试技术和工具关注质量和扮演重要的角色在实现基于SOA的系统的质量。本文提出新的测试技术可以自动生成一组测试用例和数据Web服务。为了支持这些技术,工具(GenAutoWS)开发和运用于实际问题。 |
3所示。故障注入抽查计算机系统可靠性 |
| 计算机系统将更可靠。他们必须能够正确地操作的缺点和容错是全面测试注入故障真实和人工。用户必须开始请求报告在制造这些实验的结果和系统内置的机制来处理错误。注入人工物理故障和故障注入提供了一个合理迅速的工具是大多数应用程序的首选,因为灵活性和低成本。 |
4所示。自动测试WEB服务编排与断言 |
| Web服务编排描述语言是一个全球性的观点之间的协作服务涉及多个参与或组织的集合。由于ws - cdl可以针对指定服务组合设计和一些方法需要提出测试ws - cdl项目。在本文中,我们提出的方法测试ws - cdl程序自动和动态符号执行技术应用于生成测试输入和断言被视为测试神谕。ws - cdl模拟引擎是用于执行ws - cdl程序的执行过程中象征性执行。 |
三世。跨站点脚本攻击 |
| 跨站点脚本(XSS)攻击者的攻击技术,包括提供代码到用户的浏览器实例。浏览器实例可能是一个标准的web浏览器客户端(用户),嵌入浏览器等软件产品在WinAmp中,RSS阅读器,或是一个电子邮件客户端(用户)。代码本身通常是用HTML / JavaScript语言编写的,但也可能扩展到VBScript语言,ActiveX控件,Java, Flash页面,或任何其他browser-supported技术。当攻击者将用户的浏览器来执行他/她的代码,代码将运行在安全上下文(或区域)的托管网站。跨站点脚本的用户将他/她的帐户被劫持(cookie盗窃)及其页面的浏览器被重定向到另一个位置。应用程序利用浏览器对象实例从文件系统加载内容可能在本地机器上执行代码区允许系统的妥协。 |
| 它包括跨站点脚本攻击: |
| 一个¯·非持久性 |
| 一个¯·持久的 |
非持久性 |
| 许多门户网站提供网站的个性化视图和可能欢迎登录用户“欢迎,<用户名>”。有时会引用一个登录用户的数据是存储在一个URL的查询字符串和回荡到屏幕上。 |
| 门户URL示例:http://portal.example/index.aspx?sessionid = 459281用户名= Kavi在上面的例子中我们可以看到用户名“Kavi”存储在浏览器的URL。所得的web页面显示“欢迎,Kavi”消息。如果攻击者在URL和修改用户名字段插入一个cookie窃取JavaScript。它可能可以控制用户的帐户如果他们设法把受害者访问他们的URL。 |
持续的 |
| 许多网站主机论坛注册用户发布信息是存储在数据库中。注册用户通常使用会话ID cookie授权发布跟踪。如果攻击者发布一个消息包含一个精雕细琢的JavaScript,用户阅读消息可以拥有他们的饼干和帐户妥协。 |
IV.PENETRATION测试概述 |
| 渗透测试是一个技术的扫描仪和授权试图评估IT基础架构的安全安全试图利用系统漏洞包括操作系统、服务和应用程序的缺陷风险配置不当,甚至最终用户的行为。这样的工具也有用验证防御机制的效率以及最终用户遵守安全策略。 |
| 渗透测试通常是使用手动或自动执行技术系统地妥协其他潜在的接触点。一旦漏洞已经成功利用一个特定的系统,测试人员可能试图利用破坏系统推出后续利用其他内部资源特别是试图逐步实现更高水平的安全间隙和更深层次的访问通过特权升级电子资产和信息。 |
| 任何安全漏洞信息成功地通过渗透测试通常聚合和呈现给它和网络系统管理人员来帮助那些专业人士做出的结论是战略和优先考虑相关的补救工作。渗透测试的目的是测量的可行性系统或web服务是否安全的基于漏洞的发现在这个技术。 |
| SoapUI是一个由Eviware的工具。SOAP代表简单对象访问协议。这是一个用户和服务之间的通信协议。这是一个格式发送消息到用户和浏览器。这是平台独立的过程。通过附加的安全测试工具注入脚本工具和分析来自服务器的响应和请求的用户。然而分类在Web服务的响应,脆弱与否,注入的跨站脚本攻击。它可以帮助程序员开发基于SOAP的web服务。它组成的 |
| 一个¯·生成存根的SOAP调用Web服务描述语言文件中声明的操作; |
| 一个¯·将SOAP消息发送到web服务并显示在浏览器输出; |
| 一个¯·填充一个数据源与数据提取和生成消息(只在商业版;这个功能需要一个有限的领域知识和技能与工具使用。任何选择,所有事件和其他结构不会自动处理); |
| 一个¯·运行批处理测试用例使用部分信息的报道中使用的数据值集的操作。 |
| 作为web服务的新web应用程序相比,它是由二次攻击向量。然而缺乏关注或者知识通常发现,安全措施在web服务中实现比在web应用程序中实现。使web服务的攻击向量和容易穿透根据攻击者的观点。 |
诉渗透测试WEB服务 |
| Web应用程序安全性测试人员中非常受欢迎的钢笔。组织开发人员和笔测试人员把web应用程序作为主要攻击向量。Web服务相对较新的Web应用程序相比,被认为是次要的攻击向量。通常是由于缺少关注和知识发现的安全措施在web服务中实现比在web应用程序中实现。web服务有一个攻击向量和容易穿透根据攻击者的观点。来写这篇文章的另一个原因是,web服务的使用增加了在过去几年在主要的比率也在web服务是非常敏感的数据流。使用web服务的突然增加,因为移动应用程序。然后我们都知道使用移动应用程序的发展迅速增长,和大多数移动应用程序使用web服务。它有相对增加了使用web服务的吗?由于缺少安全实现和资源可用web服务发挥了重要作用使其成为可能的攻击向量。 |
简单对象访问协议(SOAP): |
| Soap是基于xml的协议,它通过HTTP应用程序交换信息。Web服务是使用SOAP格式发送XML请求。SOAP客户机向服务器发送一个SOAP消息。服务器响应回SOAP消息请求的服务。网络协议是安装和用于主要的操作系统平台。SOAP指定如何编码一个HTTP头和一个XML文件,以便在一个计算机程序可以调用一个程序在另一个电脑,它传递信息。它还指定被调用的程序可以返回一个响应。 |
 |
| 一个典型的SOAP请求的样子 |
 |
| 如果服务使用者发送一个正确的SOAP请求,服务提供者将派出一个适当的SOAP响应。一个典型的SOAP响应 |
 |
Web服务描述语言(WSDL): |
| 这真的是一个XML格式的语言使用UDDI。它描述了web服务的功能,通信端点的集合与交换消息的能力。或简单的词语“Web服务描述语言是一种基于xml的语言,用于描述Web服务以及如何访问它们”。每笔测试web服务而言,理解WSDL文件可以帮助很多的手工笔测试。我们可以将WSDL文件结构两部分根据我们的定义。第1部分描述了web服务和2 ndparts告诉如何访问它们。让我们先从基本的WSDL结构如图5所示。 |
 |
统一描述、发现和集成(UDDI) |
| UDDI是一个分配目录网站的每一个服务提供者需要发行注册web服务使用它的WSDL。服务使用者将搜索UDDI将提供适当的web服务和服务提供者提供特定服务的列表。选择任何一个服务提供者和服务使用者获取WSDL。Web服务是一个标准化的方法建立两个基于Web的应用程序之间的通信使用的是XML, SOAP、WSDL、UDDI和开放标准网络协议有骨气的。XML是用于编码SOAP消息中的数据。HTTP用于转换信息的SOAP, WSDL和用于描述web服务的功能和UDDI用于提供服务提供者细节的列表。在实时的情况下,如果一个服务消费者希望使用某种web服务就应该知道服务提供商。如果一个服务供应商验证服务消费者将直接提供的WSDL文件,然后服务使用者创建一个XML消息请求所需的服务形式的SOAP消息和服务提供者返回服务响应。在另一方面,如果一个服务消费者不知道服务提供者将访问UDDI和搜索所需的服务。通过选择一个服务提供者服务消费者再次生成一个XML消息请求所需的服务的形式SOAP消息指定服务提供者的WSDL文件。 The service provider returns the service response. In general web service testing is assuming the service consumer and the service provider, start testing a web service is ask for the WSDL file. |
VI。故障注入工具WEB服务 |
| 前面已经提到,SWIFI工具的需求使测试人员能够创建测试规格可自动运行故障注入和webservices在指定的地区仍在增长。本节描述的发展FIWS工具(Web服务故障注入器),它可以分为工具软件实现运行时的故障注入和非侵入性的基于soap的健壮性测试,XMLRPC, Restful Web服务和他们的作品。它允许在运行时注入故障的测试web服务,web服务之间的通信和他们的合作伙伴。注射后,产生的异常状态和错误的web服务可以观察到的行为。 |
 |
| 表示层包含模块和类负责(图形)的用户界面工具(它包含类代表窗口和对话框)。下一个是业务层实现应用程序逻辑,这是由三个单位: |
| 代理监测单元——它的目标是作为一个HTTP代理,这在给定端口侦听传入的连接和之间的通信提供中介服务。这个组件的行为有点不同于常见的代理服务器。它等待,直到整个HTTP消息读,然后,分析了消息的重要部分,并将其转发到故障注入器。 |
| 故障注入器——它从代理接收服务调用消息的特定部分监测单元和过程通过类代表不同类型的条件和缺点。处理被定义为一个特定的测试规格说明工具的用户界面和接收的控制器。 |
| 控制器——这是一个单元控制业务层的事件显示工具的用户界面。它还实现了持久性的测试和结果存储在一个XML数据库。 |
| 最后,底层工人层是数据层,由类访问提到XML数据库与测试规范和结果。 |
七世。SOAP声纳 |
| 按上面的解释现在我们必须实现一个创新的工具,称为SOAP声纳被认为是行业领先的客户端模拟服务测试工具。SOAP声纳的综合特性,结合一个直观的用户界面工具启用代码无服务测试几乎覆盖功能,自动化,回归,性能、法规和安全测试XML、SOAP和JSON测试。这是一个软件测试和诊断工具,SOAP, XML和基于REST的web服务。一般肥皂声纳界面分为项目视图,视图和报告视图运行而项目视图用于创建单独的测试用例,变量和成功标准。视图用于运行测试用例合并成自动化测试场景。在报告视图中独立的测试用例的结果可以被运行和比较成功的标准。 |
 |
八世。结论 |
| 本文的结果渗透测试阶段帮助开发的规则漏洞分析。然而,soapUI的结果显示大部分的假阳性和假阴性。我们也验证了ws - security提供的安全标准,对XSS攻击的附加安全令牌。在这两个阶段,使用ws - security的数量显著减少漏洞。然而,这可以提高与其他规范的使用。该方法的一个优点是,它依赖于通用的故障注入器的使用,可以用来模拟几种类型的攻击和可能产生变异的,通常是有限的工具通常用于安全测试,漏洞扫描器。 |
引用 |
|