測(cè)試應(yīng)用程序的安全性.ppt

《測(cè)試應(yīng)用程序的安全性.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《測(cè)試應(yīng)用程序的安全性.ppt（18頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

測(cè)試應(yīng)用程序的安全性,姚礪東華大學(xué)計(jì)算機(jī)學(xué)院,軟件測(cè)試是一項(xiàng)非常復(fù)雜的、創(chuàng)造性的和需要高度智慧的挑戰(zhàn)性任務(wù)。,我測(cè)故我在,軟件測(cè)試的現(xiàn)狀,軟件測(cè)試在軟件生命周期中占據(jù)重要的地位，軟件測(cè)試慢慢的獨(dú)立發(fā)展成為一個(gè)行業(yè)，并且在迅猛發(fā)展。對(duì)美國(guó)大量軟件項(xiàng)目的觀察結(jié)果表明，軟件項(xiàng)目的成功在很大程度上依賴于軟件測(cè)試的成功。軟件測(cè)試在軟件企業(yè)中擔(dān)當(dāng)?shù)慕巧恰百|(zhì)量管理”，即及時(shí)糾錯(cuò)及時(shí)更正，為產(chǎn)品推向市場(chǎng)貼上“質(zhì)量合格”的標(biāo)簽。開發(fā)與測(cè)試進(jìn)攻與防守：好看靠進(jìn)攻，冠軍靠防守,軟件測(cè)試的現(xiàn)狀,對(duì)國(guó)際著名IT企業(yè)的統(tǒng)計(jì)數(shù)據(jù)表明，軟件測(cè)試在整個(gè)軟件項(xiàng)目中所占的比例為40%以上，占整個(gè)項(xiàng)目費(fèi)用的50%以上，軟件測(cè)試人員與開發(fā)人員的人數(shù)比例接近1:1。國(guó)內(nèi)軟件企業(yè)在軟件測(cè)試上的投入一般在5%以下，測(cè)試人員所占比例很小(軟件測(cè)試人員與開發(fā)人員之比僅為1:8)，經(jīng)常處于從屬地位。中國(guó)軟件工業(yè)要健康發(fā)展，必須正視和努力縮小這個(gè)差距。,微軟的測(cè)試,“很多人都認(rèn)為微軟是一家軟件開發(fā)公司，而事實(shí)上，我們是一家軟件測(cè)試公司”－比爾蓋子在微軟內(nèi)部，軟件測(cè)試人員與軟件開發(fā)人員的比率一般為1.5-2.5左右,軟件測(cè)試的作用,軟件質(zhì)量與軟件質(zhì)量保證教學(xué)考試與教學(xué)質(zhì)量保證軟件開發(fā)的每個(gè)階段都要測(cè)試，測(cè)試人員應(yīng)該參與設(shè)計(jì)階段：評(píng)審安全性設(shè)計(jì)傳說中的微軟測(cè)試部門的格言：沒有最BT，只有更BT。,軟件測(cè)試之獨(dú)孤九劍,全程測(cè)試，測(cè)試先行劍走偏鋒—不走尋常路完全測(cè)試程序是不可能的軟件測(cè)試是有風(fēng)險(xiǎn)的行為程序中的大部分錯(cuò)誤往往是在一小部分模塊中發(fā)現(xiàn)的--帕雷托定律設(shè)計(jì)周密的測(cè)試用例先求開展，后求緊湊，乃可縝密矣----《九陰真經(jīng)》框起你的測(cè)試來(lái)剛中帶柔，柔中帶剛，如海中波濤，剛?cè)岵?jì)?！旁普频谖迨健霸坪２本哂辛己玫挠?jì)算機(jī)編程基礎(chǔ)優(yōu)秀的安全測(cè)試人員格言：給我一個(gè)socket，我能破壞任何軟件。,一次轉(zhuǎn)身最遠(yuǎn)能產(chǎn)生多遠(yuǎn)的距離—從傳統(tǒng)軟件測(cè)試轉(zhuǎn)向安全性測(cè)試,如果不付出相當(dāng)大的努力去消除，每個(gè)復(fù)雜的軟件程序都會(huì)有代價(jià)高昂的安全漏洞。這些漏洞會(huì)造成病毒和蠕蟲的橫行，也會(huì)使得罪犯能夠攫取用戶的個(gè)人財(cái)務(wù)數(shù)據(jù)，而這些用戶已如驚弓之鳥，并且本來(lái)就很不愿意把他們的個(gè)人數(shù)據(jù)放在Internet上。2005年，CardSystems成為數(shù)字化攻擊的犧牲品，由于對(duì)信用卡數(shù)據(jù)在未加密情況下存儲(chǔ)，有4000多萬(wàn)張借記卡和信用卡泄密，4個(gè)月后，這家公司倒閉出售。安全性測(cè)試：不是驗(yàn)證軟件的正確性，而是挖掘軟件的漏洞（軟件中的“不應(yīng)該”和“不允許”部分，例如：代碼中的緩沖區(qū)溢出漏洞，電子秤中的作弊后門等）。---越崩潰越快樂！RFC2828將漏洞定義為“系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)或操作和管理中存在的缺陷或弱點(diǎn)，能被利用而違背系統(tǒng)的安全策略”例如：對(duì)于一個(gè)web輸入界面的測(cè)試，其上有個(gè)字段【銀行賬號(hào)】（正確輸入是12個(gè)數(shù)字），對(duì)該字段的測(cè)試包括：正確輸入驗(yàn)證：正好12個(gè)數(shù)字（分該賬號(hào)存在和不存在兩種情況驗(yàn)證）異常輸入驗(yàn)證：（模仿用戶的一些無(wú)意錯(cuò)誤操作）輸入不滿12個(gè)數(shù)字，超過12個(gè)數(shù)字，有非數(shù)字字符，空，等等。安全測(cè)試：SQL注入攻擊（用web代理來(lái)輸入，繞過客戶端的檢驗(yàn)檢查）、跨站點(diǎn)腳本輸出、整數(shù)溢出等。安全測(cè)試的出發(fā)點(diǎn)：像攻擊者一樣思考,一些攻擊模式的范例,驗(yàn)證用戶輸入不會(huì)提供機(jī)會(huì)讓攻擊者通過已知的SQL注入攻擊來(lái)操縱后臺(tái)數(shù)據(jù)庫(kù)；驗(yàn)證不存在跨站點(diǎn)執(zhí)行腳本的可能性；驗(yàn)證在向服務(wù)器發(fā)送一個(gè)它不能正確處理的非法數(shù)據(jù)包的情況下，服務(wù)器不會(huì)崩潰；驗(yàn)證用戶輸入不會(huì)導(dǎo)致數(shù)據(jù)處理溢出；驗(yàn)證程序?qū)﹀e(cuò)誤的處理是恰當(dāng)?shù)模或?yàn)證數(shù)據(jù)在網(wǎng)絡(luò)傳輸中或存儲(chǔ)時(shí)是經(jīng)過了保護(hù)的驗(yàn)證不會(huì)出現(xiàn)信息泄露驗(yàn)證訪問控制。。。。。,建立安全性測(cè)試計(jì)劃---基于風(fēng)險(xiǎn)的安全測(cè)試,威脅/風(fēng)險(xiǎn)建模：排定安全測(cè)試的優(yōu)先級(jí)。在對(duì)應(yīng)用程序的設(shè)計(jì)和應(yīng)用流程加以理解的基礎(chǔ)上，可假定潛在的安全風(fēng)險(xiǎn)并對(duì)其進(jìn)行評(píng)價(jià)。然后，根據(jù)易于攻擊和攻擊的影響嚴(yán)重性，將這些威脅進(jìn)行分級(jí)并依次消除。然后安全測(cè)試人員就可以將其注意力集中于那些攻擊難度最低而影響最大的領(lǐng)域。流程：信息搜集：需要測(cè)試哪個(gè)應(yīng)用程序和應(yīng)用程序中的哪些模塊（組件），對(duì)每一個(gè)模塊（組件）做哪些安全假設(shè)，每個(gè)組件的哪些安全因素需要測(cè)試，預(yù)期的結(jié)果是什么。登錄頁(yè)面：（見后）識(shí)別威脅將與威脅相關(guān)的風(fēng)險(xiǎn)進(jìn)行分級(jí)潛在的破壞程度再現(xiàn)性和可利用性：探測(cè)并利用這個(gè)漏洞所做的努力受影響的用戶,登錄頁(yè)面的威脅分析,猜測(cè)口令：設(shè)計(jì)時(shí)應(yīng)設(shè)計(jì)登錄試探次數(shù)，例如：只許試探三次，然后鎖定ip地址。利用password文件系統(tǒng)地猜測(cè)口令：加密文件（密碼強(qiáng)弱，文件存放是否安全）分析協(xié)議和濾出口令：不能明文傳輸，密碼的強(qiáng)弱重放攻擊：加時(shí)間戳木馬監(jiān)視登錄/口令：系統(tǒng)安全，一次性口令盜鏈：SQL注入漏洞異常輸入破壞：,安全測(cè)試技術(shù)之七種武器,一個(gè)完整的WEB安全性測(cè)試可以從以下幾個(gè)方面入手：1.安全體系測(cè)試網(wǎng)絡(luò)是否提供了安全的通信部署拓?fù)浣Y(jié)構(gòu)是否包括內(nèi)部的防火墻部署拓?fù)浣Y(jié)構(gòu)中是否包括遠(yuǎn)程應(yīng)用程序服務(wù)器操作系統(tǒng)是否存在漏洞，例如Unix上的緩沖區(qū)溢出漏洞、Windows上的RPC漏洞、緩沖區(qū)溢出漏洞、安全機(jī)制漏洞等；2.輸入驗(yàn)證如何驗(yàn)證輸入是否清楚入口點(diǎn)是否驗(yàn)證Web頁(yè)輸入是否對(duì)傳遞到組件或Web服務(wù)的參數(shù)進(jìn)行驗(yàn)證是否驗(yàn)證從數(shù)據(jù)庫(kù)中檢索的數(shù)據(jù)是否依賴客戶端的驗(yàn)證應(yīng)用程序是否易受SQL注入攻擊應(yīng)用程序是否易受XSS攻擊如何處理輸入,3.身份驗(yàn)證和授權(quán)是否區(qū)分公共訪問和受限訪問如何驗(yàn)證調(diào)用者身份如何驗(yàn)證數(shù)據(jù)庫(kù)的身份如何向最終用戶授權(quán)4.敏感數(shù)據(jù)是否存儲(chǔ)機(jī)密信息如何存儲(chǔ)敏感數(shù)據(jù)是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)5.加密為何使用特定的算法如何確保加密密鑰的安全性6.參數(shù)操作是否驗(yàn)證所有的輸入?yún)?shù)是否在參數(shù)過程中傳遞敏感數(shù)據(jù)是否為了安全問題而使用HTTP頭數(shù)據(jù)7.審核和日志記錄是否明確了要審核的活動(dòng)是否考慮如何流動(dòng)原始調(diào)用這身份,應(yīng)用服務(wù)器的安全性測(cè)試技術(shù),一、應(yīng)用服務(wù)器的安全性測(cè)試內(nèi)容基于應(yīng)用服務(wù)器的安全性測(cè)試內(nèi)容主要包括：驗(yàn)證隱私系統(tǒng)是否受到保護(hù)、數(shù)據(jù)是否加密，檢測(cè)系統(tǒng)是否有安全保密的漏洞，檢驗(yàn)系統(tǒng)及其所在的網(wǎng)絡(luò)是否能夠承受各種類型的惡意攻擊。對(duì)于Web服務(wù)器而言，具體測(cè)試內(nèi)容還有測(cè)試用戶登錄與注冊(cè)、是否有超時(shí)限制、服務(wù)器腳本語(yǔ)言、日志文件、目錄安全、SSL安全傳輸測(cè)試等。二、應(yīng)用服務(wù)器的安全性測(cè)試方法與技術(shù)（一）全面搜集與應(yīng)用服務(wù)器安全相關(guān)的各種信息，分析其可能出現(xiàn)的安全隱患應(yīng)用服務(wù)器被使用的企業(yè)單位基本信息、管理中薄弱環(huán)節(jié)、應(yīng)用服務(wù)器配置信息、系統(tǒng)可訪問的主機(jī)IP地址及對(duì)應(yīng)的主機(jī)名、服務(wù)器所在網(wǎng)絡(luò)的拓樸結(jié)構(gòu)等，這些信息可能成為被利用的安全隱患，有的可能在互聯(lián)網(wǎng)上搜索得到，要對(duì)其進(jìn)行分析和安全隱患檢查。,應(yīng)用服務(wù)器的安全性測(cè)試技術(shù),（二）應(yīng)用服務(wù)器的漏洞探測(cè)和掃描1、利用搜索引擎搜索已公布的漏洞?？衫肎oogle等工具搜索資源，研究系統(tǒng)漏洞?？稍L問CVE（公共漏洞和暴露）數(shù)據(jù)庫(kù)，查找漏洞。PacketStorm組織是由一些致力于提供必要信息以安全化全球網(wǎng)絡(luò)的安全專業(yè)人士組成的非盈利組織，在其網(wǎng)站上可以找到許多安全信息，如Windows中緩沖區(qū)溢出漏洞、Unix主機(jī)中遠(yuǎn)程過程調(diào)用（RPC）的安全隱患、FTP漏洞，Sendmail郵件服務(wù)軟件的漏洞等。2、利用掃描工具進(jìn)行漏洞探測(cè)。服務(wù)器漏洞掃描的工具很多，基于Linux的掃描工具有Namp、Netcat、Nessus?；赪indows的端口掃描器有NeWT等。還有很多掃描工具，如：著名的COPS、Tiger、Fluxay5（流光）、X-scan、N-Stealth、MetasploitFramework（:55555/）等。其中，很多工具可以在網(wǎng)上免費(fèi)下載。可以利用上述工具探測(cè)系統(tǒng)漏洞，查看系統(tǒng)是否打了補(bǔ)丁。,應(yīng)用服務(wù)器的安全性測(cè)試技術(shù),（三）模擬攻擊測(cè)試采用拒絕服務(wù)、緩沖區(qū)溢出攻擊、密碼破解攻擊等方法進(jìn)行測(cè)試。1、Web服務(wù)器利用測(cè)試。針對(duì)WindowsIIS5.0Web服務(wù)器中的目錄遍歷漏洞（CVE-2001-0333），可采用如下方法測(cè)試。若主機(jī)IP為：67.168.100.102，則在IE的地址欄中輸入：http://67.168.100.102/scripts/..%255c..//winnt/system32/cmd.exe?c+dir若在瀏覽器中看到目錄C:\inetpub\scripts中的內(nèi)容，則說明存在漏洞。2、拒絕服務(wù)攻擊測(cè)試。Land攻擊：判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同。PingOfDeath攻擊：判斷數(shù)據(jù)包的大小是否大于65535個(gè)字節(jié)。如果操作系統(tǒng)接收到長(zhǎng)度大于65535字節(jié)的數(shù)據(jù)包時(shí)，就會(huì)造成內(nèi)存溢出、系統(tǒng)崩潰等后果。Teardrop攻擊：對(duì)接收到的分片數(shù)據(jù)包進(jìn)行分析，計(jì)算數(shù)據(jù)包的片偏移量(Offset)是否有誤。某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。SYNFlood攻擊：從隨機(jī)的或欺騙來(lái)的IP地址產(chǎn)生大量的SYN數(shù)據(jù)包，導(dǎo)致合法請(qǐng)求被拒絕。SMBDie攻擊：利用SMB（服務(wù)器消息塊）中代號(hào)為CVE-CAN-2002-0274的緩沖區(qū)溢出漏洞攻擊，可能導(dǎo)致Windows計(jì)算機(jī)死亡藍(lán)屏。,應(yīng)用服務(wù)器的安全性測(cè)試技術(shù),3、E-mail炸彈攻擊測(cè)試。郵件炸彈不僅能造成收件人信箱爆滿而無(wú)法再接收其他的郵件，而且還會(huì)加重網(wǎng)絡(luò)的流量負(fù)荷，甚至?xí)?dǎo)致整個(gè)郵件系統(tǒng)癱瘓。常見的郵件炸彈軟件有KaBoom!、Avalanche等。4、密碼破解和特權(quán)提升測(cè)試。采用窮舉法、漏洞利用和字典法等方法破解系統(tǒng)用戶密碼，常用工具有：L0phtcrack、Crackerjack、JohntheRipper等，在試著破解前用pwdump5來(lái)獲取密碼的哈希，可參考網(wǎng)站：SQLServer弱口令測(cè)試：用scansql.exe工具測(cè)試SQLServer數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)是否有默認(rèn)用戶SA及弱口令。擊鍵記錄測(cè)試：采用擊鍵記錄工具（如keylog5.exe）進(jìn)行測(cè)試。檢查能否記錄管理員的用戶名和口令。登錄測(cè)試：對(duì)用戶名和匹配的密碼進(jìn)行校驗(yàn)，以阻止非法用戶登錄。可測(cè)試輸入的密碼是否對(duì)大小寫敏感、是否有長(zhǎng)度和條件限制、最多可以嘗試多少次登錄等情況。測(cè)試時(shí)可以將上述多種方法混合使用，進(jìn)行暴力攻擊測(cè)試。,應(yīng)用服務(wù)器的安全性測(cè)試技術(shù),（四）使用計(jì)算機(jī)病毒及木馬測(cè)試系統(tǒng)的防護(hù)能力最典型的計(jì)算機(jī)病毒和木馬有“木馬代理”、“網(wǎng)游大盜”、“艾妮”、“熊貓燒香”、“QQ木馬”、“灰鴿子”等。有的木馬能繞過天網(wǎng)等大多數(shù)防火墻的攔截?？梢岳眠@些典型病毒和木馬測(cè)試應(yīng)用服務(wù)器系統(tǒng)的防護(hù)能力，驗(yàn)證服務(wù)器檢測(cè)到病毒時(shí)的應(yīng)急能力。許多病毒和木馬在網(wǎng)上很容易下載到?？梢允褂镁W(wǎng)頁(yè)木馬生成器方便地生成木馬。也可以利用操作系統(tǒng)的Shell編程技術(shù)和Socket編程技術(shù)嘗試編寫新的攻擊程序，用于系統(tǒng)安全性測(cè)試。（五）數(shù)字取證測(cè)試?yán)孟到y(tǒng)中的日志、審計(jì)、Cookies、歷史記錄等功能，驗(yàn)證應(yīng)用服務(wù)器遭到攻擊后是否留下痕跡，便于取證。,