面向软件攻击面的Web应用安全评估模型研究

J4 ›› 2016, Vol. 38 ›› Issue (01): 73-77.

面向软件攻击面的Web应用安全评估模型研究

张玉凤，楼芳，张历

（中国工程物理研究院计算机应用研究所,四川绵阳 621900）

收稿日期:2014-12-09 修回日期:2015-04-08 出版日期:2016-01-25 发布日期:2016-01-25

Security assessment of web applications
based on software attack surface

ZHANG Yufeng,LOU Fang,ZHANG Li

（Institute of Computer Application,China Academy of Engineering Physics,Mianyang 621900,China）

Received:2014-12-09 Revised:2015-04-08 Online:2016-01-25 Published:2016-01-25

摘要/Abstract

摘要：

Web应用已成为互联网和企事业单位信息管理的主要模式。随着Web应用的普及，攻击者越来越多地利用它的漏洞实现恶意攻击，Web应用的安全评估已成为信息安全研究的热点。结合Web应用的业务逻辑，提出了其相关资源软件攻击面的形式化描述方法，构造了基于软件攻击面的攻击图模型，在此基础上，实现对Web应用的安全评估。本文构造的安全评估模型，在现有的通用漏洞检测模型基础上，引入业务逻辑安全性关联分析，解决了现有检测模型业务逻辑安全检测不足的缺陷，实现了Web应用快速、全面的安全评估。

关键词: Web应用, 软件攻击面, 攻击图, 安全评估

Abstract:

Web applications have become the principal model of the internet and enterprise information management. With their popularity, attackers launch malicious attacks via their vulnerability. Security assessment of web applications is a major information security concern. In this paper, we first discuss the formal description of software attack surface via business logic of web applications, and then construct an attack graph model. On such basis, we realize the security assessment in web applications. Based on current general vulnerability detection model, the proposed security assessment model introduces correlation analysis of business logic security. Our proposal overcomes the defects of current testing models of business logic assessment, and achieves fast and comprehensive security assessment of web applications.

Key words: web applications;software attack surface;attack graph;security assessment

张玉凤，楼芳，张历. 面向软件攻击面的Web应用安全评估模型研究[J]. J4, 2016, 38(01): 73-77.

ZHANG Yufeng,LOU Fang,ZHANG Li. Security assessment of web applications
based on software attack surface [J]. J4, 2016, 38(01): 73-77.

参考文献［8］

［1］	Ma Hongwei.Safety problems and solutions of web applications［J］.Computer CD Software and Applications,2014（3）:161162.（in Chinese）
［2］	Sun Jihong. Security research of web applications［J］.Information Science,2009（23）:1.（in Chinese）
［3］	Howard M.Fending off future attacks by ruducing attack surface［EB/OL］.［20150711］.http://msdn.microsoft.com/liberary/default.asp？url=/liberary/enus/dncode/html/secure02132003.asp．
［4］	Manadhata P K,Wing J M.An attack surface metric［J］.IEEE Transactions on Software Engineering,2011,37(3):371386.
［5］	Wang Lingyu,Lslam T,Tao Long,et al.An attack graphbased probabilistic security metric［C］∥Proc of the 22nd Annual IFIP WG 11.3 Working Conference on Data and Applications Security(DAC’2008),2008:283296.
［6］	Liu Shengwa,Gao Xiang,Wang Min. Application of attack graph method based on Bayesian network in network security assessment［J］.Modern Electronics Technique,2013，36（9）:8487.（in Chinese）
［7］	Li Lingjuan,Sun Guanghui. Research on algorithm of generating network attack graph［J］.Computer Technology and Development,2010,20 （10）:171175.（in Chinese）
［8］	Chen Feng,Zhang Yi,Su Jinshu.Two formal analyses of attack graphs［J］.Journal of Software,2010,21 （4）:838848.（in Chinese）
	附中文参考文献：
［1］	马宏伟.Web应用程序的安全问题及对策［J］.计算机光盘软件与应用［J］.2014（3）：161162．
［2］	孙继红.Web应用安全的研究［J］.信息科学,2009（23）:1．
［6］	刘胜娃，高翔，王敏.基于贝叶斯网络的攻击图方法在网络安全评估中的应用［J］.现代电子技术，2013，36（9）:8487．
［7］	李玲娟，孙光辉.网络攻击图生成算法研究［J］.计算机技术与发展，2010,20 （10）:171175．
［8］	陈锋，张怡，苏金树.攻击图的两种形式化分析［J］.软件学报,2010,21 （4）:838848．

[1]	张玉凤，楼芳，张历. 面向软件攻击面的Web应用安全评估模型研究[J]. J4, 20160101, 38(01): 73-77.
[2]	李艳，黄光球. 基于可能图的攻击意图检测方法[J]. 计算机工程与科学, 2017, 39(04): 698-707.
[3]	李艳，黄光球，张斌. 基于攻击事件的动态网络风险评估框架[J]. 计算机工程与科学, 2016, 38(09): 1803-1811.
[4]	秦广赞，郭帆，徐芳，余敏. 一种防SQL注入的静态分析方法[J]. J4, 2013, 35(2): 68-73.
[5]	贺志强，楼芳，李亮. 基于攻击距离的攻击图优化方法[J]. J4, 2012, 34(2): 9-12.
[6]	赵豹1，张怡2,孟源1. 基于攻击模式的反向搜索攻击图生成算法[J]. J4, 2011, 33(7): 18-24.
[7]	朱明1，殷建平1，程杰仁1,2，刘强1，林加润1. 基于贪心策略的多目标攻击图生成方法[J]. J4, 2010, 32(6): 22-25.
[8]	陈锋1，张怡1，鲍爱华2，苏金树1. 基于攻击图的网络脆弱性量化评估研究[J]. J4, 2010, 32(10): 8-11.
[9]	严雷，汤卫民，王宗飞. 基于安全评估的网格动态访问控制研究[J]. J4, 2010, 32(10): 16-19.
[10]	马永强蒋泽军王丽芳. ActiveX在基于硬件识别的身份认证中的应用[J]. J4, 2008, 30(6): 8-9.
[11]	周敬利汪健夏洪涛. 基于Apache的Web应用安全防护研究[J]. J4, 2006, 28(4): 1-2.
[12]	刘家红吴泉源. Web应用开发平台的元建模研究[J]. J4, 2006, 28(3): 88-91.
[13]	刘华刘芳戴葵王志英. CC Toolbox的研究及其改进[J]. J4, 2005, 27(9): 26-28.