測試應(yīng)用程序的安全性.ppt

測試應(yīng)用程序的安全性,姚礪 東華大學(xué)計算機學(xué)院,軟件測試是一項非常復(fù)雜的、創(chuàng)造性的和需要高度智慧的挑戰(zhàn)性任務(wù)。,我測故我在,軟件測試在軟件生命周期中占據(jù)重要的地位，軟件測試慢慢的獨立發(fā)展成為一個行業(yè)，并且在迅猛發(fā)展。 對美國大量軟件項目的觀察結(jié)果表明，軟件項目的成功在很大程度上依賴于軟件測試的成功。軟件測試在軟件企業(yè)中擔(dān)當(dāng)?shù)慕巧恰百|(zhì)量管理”，即及時糾錯及時更正，為產(chǎn)品推向市場貼上“質(zhì)量合格”的標(biāo)簽。 開發(fā)與測試 進攻與防守：好看靠進攻，冠軍靠防守,軟件測試的現(xiàn)狀,對國際著名IT企業(yè)的統(tǒng)計數(shù)據(jù)表明，軟件測試在整個軟件項目中所占的比例為 40% 以上，占整個項目費用的 50% 以上，軟件測試人員與開發(fā)人員的人數(shù)比例接近1:1。 國內(nèi)軟件企業(yè)在軟件測試上的投入一般在 5% 以下，測試人員所占比例很小(軟件測試人員與開發(fā)人員之比僅為1:8)，經(jīng)常處于從屬地位。中國軟件工業(yè)要健康發(fā)展，必須正視和努力縮小這個差距。,微軟的測試,“很多人都認為微軟是一家軟件開發(fā)公司，而事實上，我們是一家軟件測試公司” 比爾蓋子 在微軟內(nèi)部，軟件測試人員與軟件開發(fā)人員的比率一般為1.5-2.5左右,軟件測試的作用,軟件質(zhì)量與軟件質(zhì)量保證 教學(xué)考試與教學(xué)質(zhì)量保證 軟件開發(fā)的每個階段都要測試，測試人員應(yīng)該參與設(shè)計階段：評審安全性設(shè)計 傳說中的微軟測試部門的格言：沒有最BT，只有更BT。,軟件測試之獨孤九劍,全程測試，測試先行 劍走偏鋒 不走尋常路 完全測試程序是不可能的 軟件測試是有風(fēng)險的行為 程序中的大部分錯誤往往是在一小部分模塊中發(fā)現(xiàn)的-帕雷托定律 設(shè)計周密的測試用例 先求開展，后求緊湊，乃可縝密矣-九陰真經(jīng) 框起你的測試來 剛中帶柔，柔中帶剛，如海中波濤，剛?cè)岵?排云掌第五式“云海波濤 ” 具有良好的計算機編程基礎(chǔ) 優(yōu)秀的安全測試人員格言：給我一個socket，我能破壞任何軟件。,一次轉(zhuǎn)身最遠能產(chǎn)生多遠的距離 從傳統(tǒng)軟件測試轉(zhuǎn)向安全性測試,如果不付出相當(dāng)大的努力去消除，每個復(fù)雜的軟件程序都會有代價高昂的安全漏洞。這些漏洞會造成病毒和蠕蟲的橫行，也會使得罪犯能夠攫取用戶的個人財務(wù)數(shù)據(jù)，而這些用戶已如驚弓之鳥，并且本來就很不愿意把他們的個人數(shù)據(jù)放在Internet上。 2005年，CardSystems成為數(shù)字化攻擊的犧牲品，由于對信用卡數(shù)據(jù)在未加密情況下存儲，有4000多萬張借記卡和信用卡泄密，4個月后，這家公司倒閉出售。 安全性測試：不是驗證軟件的正確性，而是挖掘軟件的漏洞（軟件中的“不應(yīng)該”和“不允許”部分，例如：代碼中的緩沖區(qū)溢出漏洞，電子秤中的作弊后門等）。- 越崩潰越快樂！ RFC2828將漏洞定義為“系統(tǒng)設(shè)計、實現(xiàn)或操作和管理中存在的缺陷或弱點，能被利用而違背系統(tǒng)的安全策略” 例如：對于一個web輸入界面的測試，其上有個字段【銀行賬號】（正確輸入是12個數(shù)字），對該字段的測試包括： 正確輸入驗證：正好12個數(shù)字（分該賬號存在和不存在兩種情況驗證） 異常輸入驗證：（模仿用戶的一些無意錯誤操作）輸入不滿12個數(shù)字，超過12個數(shù)字，有非數(shù)字字符，空，等等。 安全測試：SQL注入攻擊（用web代理來輸入，繞過客戶端的檢驗檢查）、跨站點腳本輸出、整數(shù)溢出等。 安全測試的出發(fā)點：像攻擊者一樣思考,一些攻擊模式的范例,驗證用戶輸入不會提供機會讓攻擊者通過已知的SQL注入攻擊來操縱后臺數(shù)據(jù)庫； 驗證不存在跨站點執(zhí)行腳本的可能性； 驗證在向服務(wù)器發(fā)送一個它不能正確處理的非法數(shù)據(jù)包的情況下，服務(wù)器不會崩潰； 驗證用戶輸入不會導(dǎo)致數(shù)據(jù)處理溢出； 驗證程序?qū)﹀e誤的處理是恰當(dāng)?shù)模?驗證數(shù)據(jù)在網(wǎng)絡(luò)傳輸中或存儲時是經(jīng)過了保護的 驗證不會出現(xiàn)信息泄露 驗證訪問控制 。,建立安全性測試計劃- 基于風(fēng)險的安全測試,威脅/風(fēng)險建模：排定安全測試的優(yōu)先級。在對應(yīng)用程序的設(shè)計和應(yīng)用流程加以理解的基礎(chǔ)上，可假定潛在的安全風(fēng)險并對其進行評價。然后，根據(jù)易于攻擊和攻擊的影響嚴重性，將這些威脅進行分級并依次消除。然后安全測試人員就可以將其注意力集中于那些攻擊難度最低而影響最大的領(lǐng)域。 流程： 信息搜集：需要測試哪個應(yīng)用程序和應(yīng)用程序中的哪些模塊（組件），對每一個模塊（組件）做哪些安全假設(shè)，每個組件的哪些安全因素需要測試，預(yù)期的結(jié)果是什么。 登錄頁面：（見后） 識別威脅 將與威脅相關(guān)的風(fēng)險進行分級 潛在的破壞程度 再現(xiàn)性和可利用性：探測并利用這個漏洞所做的努力 受影響的用戶,登錄頁面的威脅分析,猜測口令：設(shè)計時應(yīng)設(shè)計登錄試探次數(shù)，例如：只許試探三次，然后鎖定ip地址。 利用password文件系統(tǒng)地猜測口令：加密文件（密碼強弱，文件存放是否安全） 分析協(xié)議和濾出口令：不能明文傳輸，密碼的強弱 重放攻擊：加時間戳 木馬監(jiān)視登錄/口令：系統(tǒng)安全，一次性口令 盜鏈： SQL注入漏洞 異常輸入破壞：,安全測試技術(shù)之七種武器,一個完整的WEB安全性測試可以從以下幾個方面入手： 1.安全體系測試 網(wǎng)絡(luò)是否提供了安全的通信 部署拓撲結(jié)構(gòu)是否包括內(nèi)部的防火墻 部署拓撲結(jié)構(gòu)中是否包括遠程應(yīng)用程序服務(wù)器 操作系統(tǒng)是否存在漏洞，例如Unix上的緩沖區(qū)溢出漏洞、Windows上的RPC漏洞、緩沖區(qū)溢出漏洞、安全機制漏洞等； 2. 輸入驗證 如何驗證輸入 是否清楚入口點 是否驗證Web頁輸入 是否對傳遞到組件或Web服務(wù)的參數(shù)進行驗證 是否驗證從數(shù)據(jù)庫中檢索的數(shù)據(jù) 是否依賴客戶端的驗證 應(yīng)用程序是否易受SQL注入攻擊 應(yīng)用程序是否易受XSS攻擊 如何處理輸入,3.身份驗證和授權(quán) 是否區(qū)分公共訪問和受限訪問 如何驗證調(diào)用者身份 如何驗證數(shù)據(jù)庫的身份 如何向最終用戶授權(quán) 4. 敏感數(shù)據(jù) 是否存儲機密信息 如何存儲敏感數(shù)據(jù) 是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù) 5. 加密 為何使用特定的算法 如何確保加密密鑰的安全性 6.參數(shù)操作 是否驗證所有的輸入?yún)?shù) 是否在參數(shù)過程中傳遞敏感數(shù)據(jù) 是否為了安全問題而使用HTTP頭數(shù)據(jù) 7.審核和日志記錄 是否明確了要審核的活動 是否考慮如何流動原始調(diào)用這身份,應(yīng)用服務(wù)器的安全性測試技術(shù),一、應(yīng)用服務(wù)器的安全性測試內(nèi)容 基于應(yīng)用服務(wù)器的安全性測試內(nèi)容主要包括：驗證隱私系統(tǒng)是否受到保護、數(shù)據(jù)是否加密，檢測系統(tǒng)是否有安全保密的漏洞，檢驗系統(tǒng)及其所在的網(wǎng)絡(luò)是否能夠承受各種類型的惡意攻擊。對于Web 服務(wù)器而言，具體測試內(nèi)容還有測試用戶登錄與注冊、是否有超時限制、服務(wù)器腳本語言、日志文件、目錄安全、SSL 安全傳輸測試等。 二、應(yīng)用服務(wù)器的安全性測試方法與技術(shù) （一）全面搜集與應(yīng)用服務(wù)器安全相關(guān)的各種信息，分析其可能出現(xiàn)的安全隱患應(yīng)用服務(wù)器被使用的企業(yè)單位基本信息、管理中薄弱環(huán)節(jié)、應(yīng)用服務(wù)器配置信息、系統(tǒng)可訪問的主機IP 地址及對應(yīng)的主機名、服務(wù)器所在網(wǎng)絡(luò)的拓樸結(jié)構(gòu)等，這些信息可能成為被利用的安全隱患，有的可能在互聯(lián)網(wǎng)上搜索得到，要對其進行分析和安全隱患檢查。,應(yīng)用服務(wù)器的安全性測試技術(shù),（二）應(yīng)用服務(wù)器的漏洞探測和掃描 1、利用搜索引擎搜索已公布的漏洞?？衫肎oogle 等工具搜索資源，研究系統(tǒng)漏洞。可訪問CVE（公共漏洞和暴露）數(shù)據(jù)庫，查找漏洞。Packet Storm 組織是由一些致力于提供必要信息以安全化全球網(wǎng)絡(luò)的安全專業(yè)人士組成的非盈利組織，在其網(wǎng)站上可以找到許多安全信息，如Windows 中緩沖區(qū)溢出漏洞、Unix主機中遠程過程調(diào)用（RPC）的安全隱患、FTP漏洞，Sendmail郵件服務(wù)軟件的漏洞等。 2、利用掃描工具進行漏洞探測。服務(wù)器漏洞掃描的工具很多，基于Linux的掃描工具有Namp、Netcat、Nessus?；赪indows的端口掃描器有NeWT 等。還有很多掃描工具，如：著名的COPS、Tiger、 Fluxay5（流光）、X-scan、N-Stealth、Metasploit Framework（:55555/）等。其中，很多工具可以在網(wǎng)上免費下載?？梢岳蒙鲜龉ぞ咛綔y系統(tǒng)漏洞，查看系統(tǒng)是否打了補丁。,應(yīng)用服務(wù)器的安全性測試技術(shù),（三）模擬攻擊測試 采用拒絕服務(wù)、緩沖區(qū)溢出攻擊、密碼破解攻擊等方法進行測試。 1、Web 服務(wù)器利用測試。針對Windows IIS5.0 Web 服務(wù)器中的目錄遍歷漏洞（CVE-2001-0333），可采用如下方法測試。若主機IP 為：02，則在IE 的地址欄中輸入： 02/scripts/%255c/winnt/system32/cmd.exe?c+dir 若在瀏覽器中看到目錄C:inetpubscripts 中的內(nèi)容，則說明存在漏洞。 2、拒絕服務(wù)攻擊測試。Land 攻擊：判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同。 Ping Of Death 攻擊：判斷數(shù)據(jù)包的大小是否大于65535 個字節(jié)。如果操作系統(tǒng)接收 到長度大于65535 字節(jié)的數(shù)據(jù)包時，就會造成內(nèi)存溢出、系統(tǒng)崩潰等后果。 Teardrop 攻擊：對接收到的分片數(shù)據(jù)包進行分析，計算數(shù)據(jù)包的片偏移量(Offset)是否有誤。某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。 SYN Flood 攻擊：從隨機的或欺騙來的IP 地址產(chǎn)生大量的SYN數(shù)據(jù)包，導(dǎo)致合法請求被拒絕。 SMBDie 攻擊：利用SMB（服務(wù)器消息塊）中代號為CVE-CAN-2002-0274 的緩沖區(qū)溢出漏洞攻擊，可能導(dǎo)致Windows 計算機死亡藍屏。,應(yīng)用服務(wù)器的安全性測試技術(shù),3、E-mail 炸彈攻擊測試。郵件炸彈不僅能造成收件人信箱爆滿而無法再接收其他的郵件，而且還會加重網(wǎng)絡(luò)的流量負荷，甚至?xí)?dǎo)致整個郵件系統(tǒng)癱瘓。常見的郵件炸彈軟件有KaBoom!、Avalanche 等。 4、密碼破解和特權(quán)提升測試。采用窮舉法、漏洞利用和字典法等方法破解系統(tǒng)用戶密碼，常用工具有：L0phtcrack 、Crackerjack、John the Ripper 等，在試著破解前用pwdump5來獲取密碼的哈希，可參考網(wǎng)站： SQL Server 弱口令測試：用scansql.exe 工具測試SQL Server 數(shù)據(jù)庫應(yīng)用系統(tǒng)是否有默認用戶SA 及弱口令。 擊鍵記錄測試：采用擊鍵記錄工具（如keylog5.exe）進行測試。檢查能否記錄管理員的用戶名和口令。 登錄測試：對用戶名和匹配的密碼進行校驗，以阻止非法用戶登錄?？蓽y試輸入的密碼是否對大小寫敏感、是否有長度和條件限制、最多可以嘗試多少次登錄等情況。 測試時可以將上述多種方法混合使用，進行暴力攻擊測試。,應(yīng)用服務(wù)器的安全性測試技術(shù),（四）使用計算機病毒及木馬測試系統(tǒng)的防護能力 最典型的計算機病毒和木馬有“木馬代理”、“網(wǎng)游大盜”、“艾妮”、“熊貓燒香”