软件安全性能測试(转载)
近來,在我負責的公司某軟件產品的最后測試工作,經常被問到這樣一個問題:在做測試過程中,我們的軟件產品在安全性方面考慮了多少?應該怎樣測評一個軟件究竟有多安全?
這個軟件因為涉及客戶商業上重要的信息資料,因此用戶關心的核心問題始終環繞“這個軟件安全嗎”。一個因為設計導致的安全漏洞和一個因為實現導致的安全漏洞,對用戶的終于影響都是巨大的。我的任務就是確保這個軟件在安全性方面能滿足客戶期望。
一、什么是軟件安全性測試
(1)什么是軟件安全
軟件安全屬于軟件領域里一個重要的子領域。在曾經的單機時代,安全問題主要是操作系統easy感染病毒,單機應用程序軟件安全問題并不突出。可是自從互聯網普及后,軟件安全問題愈加顯加突顯,使得軟件安全性測試的重要性上升到一個前所未有的高度。
軟件安全一般分為兩個層次,即應用程序級別的安全性和操作系統級別的安全性。應用程序級別的安全性,包含對數據或業務功能的訪問,在預期的安全性情況 下,操作者僅僅能訪問應用程序的特定功能、有限的數據等。操作系統級別的安全性是確保僅僅有具備系統平臺訪問權限的用戶才干訪問,包含對系統的登錄或遠程訪 問。
本文所講的軟件安全主要是應用程序層的安全,包含兩個層面:①是應用程序本身的安全性。一般來說,應用程序的安全問題主要是由軟件漏洞導 致的,這些漏洞能夠是設計上的缺陷或是編程上的問題,甚至是開發者預留的后門。②是應用程序的數據安全,包含數據存儲安全和傳輸數據安全兩個方面。
(2)軟件安全性測試
一般來說,對安全性要求不高的軟件,其安全性測試能夠混在單元測試、集成測試、系統測試里一起做。但對安全性有較高需求的軟件,則必須做專門的安全性測試,以便在破壞之前預防并識別軟件的安全問題。
安全性測試(Security Testing)是指有關驗證應用程序的安全等級和識別潛在安全性缺陷的過程。應用程序級安全測試的主要目的是查找軟件自身程序設計中存在的安全隱患,并 檢查應用程序對非法侵入的防范能力,依據安全指標不同測試策略也不同。注意:安全性測試并不終于證明應用程序是安全的,而是用于驗證所設立策略的有效性, 這些對策是基于威脅分析階段所做的如果而選擇的。比如,測試應用軟件在防止非授權的內部或外部用戶的訪問或有益破壞等情況時的運作。
二、軟件安全性測試過程
(1)安全性測試方法
有很多的測試手段能夠進行安全性測試,眼下主要安全測試方法有:
①靜態的代碼安全測試:主要通過對源碼進行安全掃描,依據程序中數據流、控制流、語義等信息與其特有軟件安全規則庫進行匹對,從中找出代碼中潛在的安 全漏洞。靜態的源碼安全測試是很實用的方法,它能夠在編碼階段找出全部可能存在安全風險的代碼,這樣開發者能夠在早期解決潛在的安全問題。而正由于 如此,靜態代碼測試比較適用于早期的代碼開發階段,而不是測試階段。
②動態的滲透測試:滲透測試也是經常使用的安全測試方法。是使用自己主動化工具或 者人工的方法模擬黑客的輸入,相應用系統進行攻擊性測試,從中找出執行時刻所存在的安全漏洞。這樣的測試的特點就是真實有效,一般找出來的問題都是正確的, 也是較為嚴重的。但滲透測試一個致命的缺點是模擬的測試數據僅僅能到達有限的測試點,覆蓋率非常低。
③程序數據掃描。一個有高安全性需求的軟件, 在執行過程中數據是不能遭到破壞的,否則就會導致緩沖區溢出類型的攻擊。數據掃描的手段一般是進行內存測試,內存測試能夠發現很多諸如緩沖區溢出之類的漏 洞,而這類漏洞使用除此之外的測試手段都難以發現。比如,對軟件執行時的內存信息進行掃描,看是否存在一些導致隱患的信息,當然這須要專門的工具來進行驗 證,手工做是比較困難的。
(2)反向安全性測試過程
大部分軟件的安全測試都是根據缺陷空間反向設計原則來進行的,即事先檢查哪些 地方可能存在安全隱患,然后針對這些可能的隱患進行測試。因此,反向測試過程是從缺陷空間出發,建立缺陷威脅模型,通過威脅模型來尋找入侵點,對入侵點進 行已知漏洞的掃描測試。優點是能夠對已知的缺陷進行分析,避免軟件里存在已知類型的缺陷,可是對未知的攻擊手段和方法一般會無能為力。
①建立缺陷威脅模型。建立缺陷威脅模型主要是從已知的安全漏洞入手,檢查軟件中是否存在已知的漏洞。建立威脅模型時,須要先確定軟件牽涉到哪些專業領域,再依據各個專業領域所遇到的攻擊手段來進行建模。
②尋找和掃描入侵點。檢查威脅模型里的哪些缺陷可能在本軟件中發生,再將可能發生的威脅納入入侵點矩陣進行管理。假設有成熟的漏洞掃描工具,那么直接使用漏洞掃描工具進行掃描,然后將發現的可疑問題納入入侵點矩陣進行管理。
③入侵矩陣的驗證測試。創建好入侵矩陣后,就能夠針對入侵矩陣的詳細條目設計相應的測試用例,然后進行測試驗證。
(3)正向安全性測試過程
為了規避反向設計原則所帶來的測試不完備性,須要一種正向的測試方法來對軟件進行比較完備的測試,使測試過的軟件可以預防未知的攻擊手段和方法。
①先標識測試空間。對測試空間的全部的可變數據進行標識,因為進行安全性測試的代價高昂,當中要重點對外部輸入層進行標識。比如,需求分析、概要設計、具體設計、編碼這幾個階段都要對測試空間進行標識,并建立測試空間跟蹤矩陣。
②精確定義設計空間。重點審查需求中對設計空間是否有明白定義,和需求牽涉到的數據是否都標識出了它的合法取值范圍。在這個步驟中,最須要注意的是精確二字,要嚴格依照安全性原則來對設計空間做精確的定義。
③標識安全隱患。依據找出的測試空間和設計空間以及它們之間的轉換規則,標識出哪些測試空間和哪些轉換規則可能存在安全隱患。比如,測試空間愈復雜,即 測試空間劃分越復雜或可變數據組合關系越多也越不安全。還有轉換規則愈復雜,則出問題的可能性也愈大,這些都屬于安全隱患。
④建立和驗證入侵矩陣。安全隱患標識完畢后,就能夠依據標識出來的安全隱患建立入侵矩陣。列出潛在安全隱患,標識出存在潛在安全隱患的可變數據,和標識出安全隱患的等級。當中對于那些安全隱患等級高的可變數據,必須進行詳盡的測試用例設計。
(4)正向和反向測試的差別
正向測試過程是以測試空間為根據尋找缺陷和漏洞,反向測試過程則是以已知的缺陷空間為根據去尋找軟件中是否會發生相同的缺陷和漏洞,兩者各有其優缺點。 反向測試過程基本的一個長處是成本較低,僅僅要驗證已知的可能發生的缺陷就可以,但缺點是測試不完好,無法將測試空間覆蓋完整,無法發現未知的攻擊手段。正向 測試過程的長處是測試比較充分,但工作量相對來說較大。因此,對安全性要求較低的軟件,一般按反向測試過程來測試就可以,對于安全性要求較高的軟件,應以正 向測試過程為主,反向測試過程為輔。
三、常見的軟件安全性缺陷和漏洞
軟件的安全有非常多方面的內容,基本的安全問題是由軟件本身的漏洞造成的,以下介紹常見的軟件安全性缺陷和漏洞。
(1)緩沖區溢出
緩沖區溢出已成為軟件安全的頭號公敵,很多實際中的安全問題都與它有關。造成緩沖區溢出問題通常有下面兩種原因。①設計空間的轉換規則的校驗問題。即缺 乏對可測數據的校驗,導致非法數據沒有在外部輸入層被檢查出來并丟棄。非法數據進入接口層和實現層后,因為它超出了接口層和實現層的相應測試空間或設計空 間的范圍,從而引起溢出。②局部測試空間和設計空間不足。當合法數據進入后,因為程序實現層內相應的測試空間或設計空間不足,導致程序處理時出現溢出。
(2)加密弱點
這幾種加密弱點是不安全的:①使用不安全的加密算法。加密算法強度不夠,一些加密算法甚至能夠用窮舉法破解。②加密數據時password是由偽隨機算法產生的,而 產生偽隨機數的方法存在缺陷,使password非常easy被破解。③身份驗證算法存在缺陷。④客戶機和server時鐘未同步,給攻擊者足夠的時間來破解password或改動數據。⑤未 對加密數據進行簽名,導致攻擊者能夠篡改數據。所以,對于加密進行測試時,必須針對這些可能存在的加密弱點進行測試。
(3)錯誤處理
普通情況下,錯誤處理都會返回一些信息給用戶,返回的出錯信息可能會被惡意用戶利用來進行攻擊,惡意用戶可以通過分析返回的錯誤信息知道下一步要怎樣做 才干使攻擊成功。假設錯誤處理時調用了一些不該有的功能,那么錯誤處理的過程將被利用。錯誤處理屬于異常空間內的處理問題,異常空間內的處理要盡量簡單, 使用這條原則來設計能夠避免這個問題。但錯誤處理往往牽涉到易用性方面的問題,假設錯誤處理的提示信息過于簡單,用戶可能會一頭霧水,不知道下一步該怎么 操作。所以,在考慮錯誤處理的安全性的同一時候,須要和易用性一起進行權衡。
(4)權限過大
假設賦予過大的權限,就可能導致僅僅有普通 用戶權限的惡意用戶利用過大的權限做出危害安全的操作。比如沒有對能操作的內容做出限制,就可能導致用戶能夠訪問超出規定范圍的其它資源。進行安全性測試 時必須測試應用程序是否使用了過大的權限,重點要分析在各種情況下應該有的權限,然后檢查實際中是否超出了給定的權限。權限過大問題本質上屬于設計空間過 大問題,所以在設計時要控制好設計空間,避免設計空間過大造成權限過大的問題。
四、做好安全性測試的建議
很多軟件安全測試經驗告訴我們,做好軟件安全性測試的必要條件是:一是充分了解軟件安全漏洞,二是評估安全風險,三是擁有高效的軟件安全測試技術和工具。
(1)充分了解軟件安全漏洞
評估一個軟件系統的安全程度,須要從設計、實現和部署三個環節同一時候著手。我們先看一下Common Criteria是怎樣評估軟件系統安全的。首先要確定軟件產品相應的Protection Profile(PP)。一個PP定義了一類軟件產品的安全特性模板。比如數據庫的PP、防火墻的PP等。然后,依據PP再提出詳細的安全功能需求,如用 戶的身份認證實現。最后,確定安全對象以及是怎樣滿足相應的安全功能需求的。因此,一個安全軟件的三個環節,哪個出問題都不行。
(2)安全性測試的評估
當做完安全性測試后,軟件是否可以達到預期的安全程度呢?這是安全性測試人員最關心的問題,因此須要建立對測試后的安全性評估機制。一般從下面兩個方面進行評估。①安全性缺陷數據評估。
假設發現軟件的安全性缺陷和漏洞越多,可能遺留的缺陷也越多。進行這類評估時,必須建立基線數據作為參照,否則評估起來沒有根據就無法得到正確的結論。 ②採用漏洞植入法來進行評估。漏洞植入法和可靠性測試里的故障插入測試是同一道理,僅僅只是這里是在軟件里插入一些有安全隱患的問題。採用漏洞植入法時,先 讓不參加安全測試的特定人員在軟件中預先植入一定數量的漏洞,最后測試完后看有多少植入的漏洞被發現,以此來評估軟件的安全性測試做得是否充分。
(3)採用安全測試技術和工具
可使用專業的具有特定功能的安全掃描軟件來尋找潛在的漏洞,將已經發生的缺陷納入缺陷庫,然后通過自己主動化測試方法來使用自己主動化缺陷庫進行轟炸測試。比如,使用一些可以模擬各種攻擊的軟件來進行測試。
安全測試是用來驗證集成在軟件內的保護機制是否可以在實際中保護系統免受非法的侵入。一句通俗的話說:軟件系統的安全當然必須可以經受住正面的攻擊——可是它也必須可以經受住側面的和背后的攻擊
轉載于:https://www.cnblogs.com/zfyouxi/p/4057006.html
總結
以上是生活随笔為你收集整理的软件安全性能測试(转载)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 读阮一峰对《javascript语言精粹
- 下一篇: 产品调研报告