关注WAP门户安全,启明星辰引航WAP安全探索
发布时间:2012-03-13   作者:启明星辰

随着我国3G移动通信技术的飞速发展与应用普及,近年来,移动互联网在社会生活中日益占据重要的地位,移动通信技术逐步承载起人们生活中主要的信息数据交换和网络商务应用。WAP(Wireless Application Protocol)作为主流的无线应用协议,以其开放式的协议结构、良好的基于Internet的继承沿习、针对无线通信特性(终端设备:显示界面小、功率低、内存低;无线网络:窄带宽、多延迟、较不可靠)的普遍修正适配,得到了广大互联网企业和电信运营商的青睐,纷纷搭建WAP门户。这其中,运营商的许多自有移动应用也基于WAP来开发,通过WAP门户来推广,从而让人们在“随时、随地、随心”地享受移动互联网业务带来的便捷的同时,丰富了其业务种类,提供了个性化的服务,提升了服务质量。


从1998年诞生之初,WAP先后经历了WAP1.0阶段与WAP2.0阶段,二者均被广泛应用于各类WAP门户网站的建设之中。在协议层次上,WAP继承了OSI模式,以Internet的HTTP/HTML为基础,整体设计适用于包括GSM、CDMA、GPRS在内的大多数无线网络,可以被建立在任何操作系统上,提供不同系列设备之间服务的互操作性。同时,WAP技术实现了无线设备与互联网之间的交互,将移动通信完全纳入到Internet网络的世界。然而,WAP门户在带给人们便利移动的同时,其本身也暴露出很多安全问题,其中比较突出的就是WAP门户网站的SQL注入和XSS注入,这两种传统互联网网站的顽疾同样也传导到了移动互联网。


基于WAP1.0与基于WAP2.0的网站均可使用PHP、JSP、ASP等语言进行开发。其中,WAP1.0使用的页面语言是WML,脚本语言是 WMLScript,用WMLScript开发的脚本并不存在于WML页面文件中,而是以独立文件的形式存在,加之WMLScript功能非常有限,因此,针对WAP 1.0网站很难进行XSS攻击,但在SQL注入攻击方面,却与WEB网站有着很高的通用性。WAP2.0使用的页面语言是XHTML,它由HTML简化而来,支持JavaScript等页面脚本,所以在SQL注入攻击和XSS攻击方面与WEB网站类似,但由于手机浏览器对JavaScript支持范围的不同,对XSS攻击的效果上会存在差异。


作为国内网络与信息安全的领头企业之一,启明星辰公司已展示的移动安全解决方案覆盖电信、移动、联通各电信运营企业。针对WAP门户网站,启明星辰公司更率先将自有的SQL注入检测专利技术(专利号:ZL 2007 1 0145398.8)与XSS注入检测专利技术(专利号:ZL 2007 1 0303985.5)应用于WAP安全检测,推出了“WAP安全检测工具”。该检测工具的爬虫模块支持对于WAP1.0网站与WAP2.0网站程序结构的爬取,覆盖率达90%以上,通过自动化的任务执行,能够实现对WAP门户内的所有网页进行有针对性的SQL/XSS注入漏洞检测与验证。启明星辰公司已在特定项目中与运营商客户就WAP门户安全展开了深度合作,协同创新,取得了良好效果。

文章来源:人民邮电报
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号