測(cè)試應(yīng)用程序的安全性.ppt
《測(cè)試應(yīng)用程序的安全性.ppt》由會(huì)員分享,可在線閱讀,更多相關(guān)《測(cè)試應(yīng)用程序的安全性.ppt(18頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
測(cè)試應(yīng)用程序的安全性,姚礪東華大學(xué)計(jì)算機(jī)學(xué)院,軟件測(cè)試是一項(xiàng)非常復(fù)雜的、創(chuàng)造性的和需要高度智慧的挑戰(zhàn)性任務(wù)。,我測(cè)故我在,軟件測(cè)試的現(xiàn)狀,軟件測(cè)試在軟件生命周期中占據(jù)重要的地位,軟件測(cè)試慢慢的獨(dú)立發(fā)展成為一個(gè)行業(yè),并且在迅猛發(fā)展。對(duì)美國大量軟件項(xiàng)目的觀察結(jié)果表明,軟件項(xiàng)目的成功在很大程度上依賴于軟件測(cè)試的成功。軟件測(cè)試在軟件企業(yè)中擔(dān)當(dāng)?shù)慕巧恰百|(zhì)量管理”,即及時(shí)糾錯(cuò)及時(shí)更正,為產(chǎn)品推向市場(chǎng)貼上“質(zhì)量合格”的標(biāo)簽。開發(fā)與測(cè)試進(jìn)攻與防守:好看靠進(jìn)攻,冠軍靠防守,軟件測(cè)試的現(xiàn)狀,對(duì)國際著名IT企業(yè)的統(tǒng)計(jì)數(shù)據(jù)表明,軟件測(cè)試在整個(gè)軟件項(xiàng)目中所占的比例為40%以上,占整個(gè)項(xiàng)目費(fèi)用的50%以上,軟件測(cè)試人員與開發(fā)人員的人數(shù)比例接近1:1。國內(nèi)軟件企業(yè)在軟件測(cè)試上的投入一般在5%以下,測(cè)試人員所占比例很小(軟件測(cè)試人員與開發(fā)人員之比僅為1:8),經(jīng)常處于從屬地位。中國軟件工業(yè)要健康發(fā)展,必須正視和努力縮小這個(gè)差距。,微軟的測(cè)試,“很多人都認(rèn)為微軟是一家軟件開發(fā)公司,而事實(shí)上,我們是一家軟件測(cè)試公司”-比爾蓋子在微軟內(nèi)部,軟件測(cè)試人員與軟件開發(fā)人員的比率一般為1.5-2.5左右,軟件測(cè)試的作用,軟件質(zhì)量與軟件質(zhì)量保證教學(xué)考試與教學(xué)質(zhì)量保證軟件開發(fā)的每個(gè)階段都要測(cè)試,測(cè)試人員應(yīng)該參與設(shè)計(jì)階段:評(píng)審安全性設(shè)計(jì)傳說中的微軟測(cè)試部門的格言:沒有最BT,只有更BT。,軟件測(cè)試之獨(dú)孤九劍,全程測(cè)試,測(cè)試先行劍走偏鋒—不走尋常路完全測(cè)試程序是不可能的軟件測(cè)試是有風(fēng)險(xiǎn)的行為程序中的大部分錯(cuò)誤往往是在一小部分模塊中發(fā)現(xiàn)的--帕雷托定律設(shè)計(jì)周密的測(cè)試用例先求開展,后求緊湊,乃可縝密矣----《九陰真經(jīng)》框起你的測(cè)試來剛中帶柔,柔中帶剛,如海中波濤,剛?cè)岵?jì)?!旁普频谖迨健霸坪2本哂辛己玫挠?jì)算機(jī)編程基礎(chǔ)優(yōu)秀的安全測(cè)試人員格言:給我一個(gè)socket,我能破壞任何軟件。,一次轉(zhuǎn)身最遠(yuǎn)能產(chǎn)生多遠(yuǎn)的距離—從傳統(tǒng)軟件測(cè)試轉(zhuǎn)向安全性測(cè)試,如果不付出相當(dāng)大的努力去消除,每個(gè)復(fù)雜的軟件程序都會(huì)有代價(jià)高昂的安全漏洞。這些漏洞會(huì)造成病毒和蠕蟲的橫行,也會(huì)使得罪犯能夠攫取用戶的個(gè)人財(cái)務(wù)數(shù)據(jù),而這些用戶已如驚弓之鳥,并且本來就很不愿意把他們的個(gè)人數(shù)據(jù)放在Internet上。2005年,CardSystems成為數(shù)字化攻擊的犧牲品,由于對(duì)信用卡數(shù)據(jù)在未加密情況下存儲(chǔ),有4000多萬張借記卡和信用卡泄密,4個(gè)月后,這家公司倒閉出售。安全性測(cè)試:不是驗(yàn)證軟件的正確性,而是挖掘軟件的漏洞(軟件中的“不應(yīng)該”和“不允許”部分,例如:代碼中的緩沖區(qū)溢出漏洞,電子秤中的作弊后門等)。---越崩潰越快樂!RFC2828將漏洞定義為“系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)或操作和管理中存在的缺陷或弱點(diǎn),能被利用而違背系統(tǒng)的安全策略”例如:對(duì)于一個(gè)web輸入界面的測(cè)試,其上有個(gè)字段【銀行賬號(hào)】(正確輸入是12個(gè)數(shù)字),對(duì)該字段的測(cè)試包括:正確輸入驗(yàn)證:正好12個(gè)數(shù)字(分該賬號(hào)存在和不存在兩種情況驗(yàn)證)異常輸入驗(yàn)證:(模仿用戶的一些無意錯(cuò)誤操作)輸入不滿12個(gè)數(shù)字,超過12個(gè)數(shù)字,有非數(shù)字字符,空,等等。安全測(cè)試:SQL注入攻擊(用web代理來輸入,繞過客戶端的檢驗(yàn)檢查)、跨站點(diǎn)腳本輸出、整數(shù)溢出等。安全測(cè)試的出發(fā)點(diǎn):像攻擊者一樣思考,一些攻擊模式的范例,驗(yàn)證用戶輸入不會(huì)提供機(jī)會(huì)讓攻擊者通過已知的SQL注入攻擊來操縱后臺(tái)數(shù)據(jù)庫;驗(yàn)證不存在跨站點(diǎn)執(zhí)行腳本的可能性;驗(yàn)證在向服務(wù)器發(fā)送一個(gè)它不能正確處理的非法數(shù)據(jù)包的情況下,服務(wù)器不會(huì)崩潰;驗(yàn)證用戶輸入不會(huì)導(dǎo)致數(shù)據(jù)處理溢出;驗(yàn)證程序?qū)﹀e(cuò)誤的處理是恰當(dāng)?shù)?;?yàn)證數(shù)據(jù)在網(wǎng)絡(luò)傳輸中或存儲(chǔ)時(shí)是經(jīng)過了保護(hù)的驗(yàn)證不會(huì)出現(xiàn)信息泄露驗(yàn)證訪問控制。。。。。,建立安全性測(cè)試計(jì)劃---基于風(fēng)險(xiǎn)的安全測(cè)試,威脅/風(fēng)險(xiǎn)建模:排定安全測(cè)試的優(yōu)先級(jí)。在對(duì)應(yīng)用程序的設(shè)計(jì)和應(yīng)用流程加以理解的基礎(chǔ)上,可假定潛在的安全風(fēng)險(xiǎn)并對(duì)其進(jìn)行評(píng)價(jià)。然后,根據(jù)易于攻擊和攻擊的影響嚴(yán)重性,將這些威脅進(jìn)行分級(jí)并依次消除。然后安全測(cè)試人員就可以將其注意力集中于那些攻擊難度最低而影響最大的領(lǐng)域。流程:信息搜集:需要測(cè)試哪個(gè)應(yīng)用程序和應(yīng)用程序中的哪些模塊(組件),對(duì)每一個(gè)模塊(組件)做哪些安全假設(shè),每個(gè)組件的哪些安全因素需要測(cè)試,預(yù)期的結(jié)果是什么。登錄頁面:(見后)識(shí)別威脅將與威脅相關(guān)的風(fēng)險(xiǎn)進(jìn)行分級(jí)潛在的破壞程度再現(xiàn)性和可利用性:探測(cè)并利用這個(gè)漏洞所做的努力受影響的用戶,登錄頁面的威脅分析,猜測(cè)口令:設(shè)計(jì)時(shí)應(yīng)設(shè)計(jì)登錄試探次數(shù),例如:只許試探三次,然后鎖定ip地址。利用password文件系統(tǒng)地猜測(cè)口令:加密文件(密碼強(qiáng)弱,文件存放是否安全)分析協(xié)議和濾出口令:不能明文傳輸,密碼的強(qiáng)弱重放攻擊:加時(shí)間戳木馬監(jiān)視登錄/口令:系統(tǒng)安全,一次性口令盜鏈:SQL注入漏洞異常輸入破壞:,安全測(cè)試技術(shù)之七種武器,一個(gè)完整的WEB安全性測(cè)試可以從以下幾個(gè)方面入手:1.安全體系測(cè)試網(wǎng)絡(luò)是否提供了安全的通信部署拓?fù)浣Y(jié)構(gòu)是否包括內(nèi)部的防火墻部署拓?fù)浣Y(jié)構(gòu)中是否包括遠(yuǎn)程應(yīng)用程序服務(wù)器操作系統(tǒng)是否存在漏洞,例如Unix上的緩沖區(qū)溢出漏洞、Windows上的RPC漏洞、緩沖區(qū)溢出漏洞、安全機(jī)制漏洞等;2.輸入驗(yàn)證如何驗(yàn)證輸入是否清楚入口點(diǎn)是否驗(yàn)證Web頁輸入是否對(duì)傳遞到組件或Web服務(wù)的參數(shù)進(jìn)行驗(yàn)證是否驗(yàn)證從數(shù)據(jù)庫中檢索的數(shù)據(jù)是否依賴客戶端的驗(yàn)證應(yīng)用程序是否易受SQL注入攻擊應(yīng)用程序是否易受XSS攻擊如何處理輸入,3.身份驗(yàn)證和授權(quán)是否區(qū)分公共訪問和受限訪問如何驗(yàn)證調(diào)用者身份如何驗(yàn)證數(shù)據(jù)庫的身份如何向最終用戶授權(quán)4.敏感數(shù)據(jù)是否存儲(chǔ)機(jī)密信息如何存儲(chǔ)敏感數(shù)據(jù)是否在網(wǎng)絡(luò)中傳遞敏感數(shù)據(jù)5.加密為何使用特定的算法如何確保加密密鑰的安全性6.參數(shù)操作是否驗(yàn)證所有的輸入?yún)?shù)是否在參數(shù)過程中傳遞敏感數(shù)據(jù)是否為了安全問題而使用HTTP頭數(shù)據(jù)7.審核和日志記錄是否明確了要審核的活動(dòng)是否考慮如何流動(dòng)原始調(diào)用這身份,應(yīng)用服務(wù)器的安全性測(cè)試技術(shù),一、應(yīng)用服務(wù)器的安全性測(cè)試內(nèi)容基于應(yīng)用服務(wù)器的安全性測(cè)試內(nèi)容主要包括:驗(yàn)證隱私系統(tǒng)是否受到保護(hù)、數(shù)據(jù)是否加密,檢測(cè)系統(tǒng)是否有安全保密的漏洞,檢驗(yàn)系統(tǒng)及其所在的網(wǎng)絡(luò)是否能夠承受各種類型的惡意攻擊。對(duì)于Web服務(wù)器而言,具體測(cè)試內(nèi)容還有測(cè)試用戶登錄與注冊(cè)、是否有超時(shí)限制、服務(wù)器腳本語言、日志文件、目錄安全、SSL安全傳輸測(cè)試等。二、應(yīng)用服務(wù)器的安全性測(cè)試方法與技術(shù)(一)全面搜集與應(yīng)用服務(wù)器安全相關(guān)的各種信息,分析其可能出現(xiàn)的安全隱患應(yīng)用服務(wù)器被使用的企業(yè)單位基本信息、管理中薄弱環(huán)節(jié)、應(yīng)用服務(wù)器配置信息、系統(tǒng)可訪問的主機(jī)IP地址及對(duì)應(yīng)的主機(jī)名、服務(wù)器所在網(wǎng)絡(luò)的拓樸結(jié)構(gòu)等,這些信息可能成為被利用的安全隱患,有的可能在互聯(lián)網(wǎng)上搜索得到,要對(duì)其進(jìn)行分析和安全隱患檢查。,應(yīng)用服務(wù)器的安全性測(cè)試技術(shù),(二)應(yīng)用服務(wù)器的漏洞探測(cè)和掃描1、利用搜索引擎搜索已公布的漏洞??衫肎oogle等工具搜索資源,研究系統(tǒng)漏洞。可訪問CVE(公共漏洞和暴露)數(shù)據(jù)庫,查找漏洞。PacketStorm組織是由一些致力于提供必要信息以安全化全球網(wǎng)絡(luò)的安全專業(yè)人士組成的非盈利組織,在其網(wǎng)站上可以找到許多安全信息,如Windows中緩沖區(qū)溢出漏洞、Unix主機(jī)中遠(yuǎn)程過程調(diào)用(RPC)的安全隱患、FTP漏洞,Sendmail郵件服務(wù)軟件的漏洞等。2、利用掃描工具進(jìn)行漏洞探測(cè)。服務(wù)器漏洞掃描的工具很多,基于Linux的掃描工具有Namp、Netcat、Nessus?;赪indows的端口掃描器有NeWT等。還有很多掃描工具,如:著名的COPS、Tiger、Fluxay5(流光)、X-scan、N-Stealth、MetasploitFramework(:55555/)等。其中,很多工具可以在網(wǎng)上免費(fèi)下載??梢岳蒙鲜龉ぞ咛綔y(cè)系統(tǒng)漏洞,查看系統(tǒng)是否打了補(bǔ)丁。,應(yīng)用服務(wù)器的安全性測(cè)試技術(shù),(三)模擬攻擊測(cè)試采用拒絕服務(wù)、緩沖區(qū)溢出攻擊、密碼破解攻擊等方法進(jìn)行測(cè)試。1、Web服務(wù)器利用測(cè)試。針對(duì)WindowsIIS5.0Web服務(wù)器中的目錄遍歷漏洞(CVE-2001-0333),可采用如下方法測(cè)試。若主機(jī)IP為:67.168.100.102,則在IE的地址欄中輸入:http://67.168.100.102/scripts/..%255c..//winnt/system32/cmd.exe?c+dir若在瀏覽器中看到目錄C:\inetpub\scripts中的內(nèi)容,則說明存在漏洞。2、拒絕服務(wù)攻擊測(cè)試。Land攻擊:判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同。PingOfDeath攻擊:判斷數(shù)據(jù)包的大小是否大于65535個(gè)字節(jié)。如果操作系統(tǒng)接收到長度大于65535字節(jié)的數(shù)據(jù)包時(shí),就會(huì)造成內(nèi)存溢出、系統(tǒng)崩潰等后果。Teardrop攻擊:對(duì)接收到的分片數(shù)據(jù)包進(jìn)行分析,計(jì)算數(shù)據(jù)包的片偏移量(Offset)是否有誤。某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。SYNFlood攻擊:從隨機(jī)的或欺騙來的IP地址產(chǎn)生大量的SYN數(shù)據(jù)包,導(dǎo)致合法請(qǐng)求被拒絕。SMBDie攻擊:利用SMB(服務(wù)器消息塊)中代號(hào)為CVE-CAN-2002-0274的緩沖區(qū)溢出漏洞攻擊,可能導(dǎo)致Windows計(jì)算機(jī)死亡藍(lán)屏。,應(yīng)用服務(wù)器的安全性測(cè)試技術(shù),3、E-mail炸彈攻擊測(cè)試。郵件炸彈不僅能造成收件人信箱爆滿而無法再接收其他的郵件,而且還會(huì)加重網(wǎng)絡(luò)的流量負(fù)荷,甚至?xí)?dǎo)致整個(gè)郵件系統(tǒng)癱瘓。常見的郵件炸彈軟件有KaBoom!、Avalanche等。4、密碼破解和特權(quán)提升測(cè)試。采用窮舉法、漏洞利用和字典法等方法破解系統(tǒng)用戶密碼,常用工具有:L0phtcrack、Crackerjack、JohntheRipper等,在試著破解前用pwdump5來獲取密碼的哈希,可參考網(wǎng)站:SQLServer弱口令測(cè)試:用scansql.exe工具測(cè)試SQLServer數(shù)據(jù)庫應(yīng)用系統(tǒng)是否有默認(rèn)用戶SA及弱口令。擊鍵記錄測(cè)試:采用擊鍵記錄工具(如keylog5.exe)進(jìn)行測(cè)試。檢查能否記錄管理員的用戶名和口令。登錄測(cè)試:對(duì)用戶名和匹配的密碼進(jìn)行校驗(yàn),以阻止非法用戶登錄??蓽y(cè)試輸入的密碼是否對(duì)大小寫敏感、是否有長度和條件限制、最多可以嘗試多少次登錄等情況。測(cè)試時(shí)可以將上述多種方法混合使用,進(jìn)行暴力攻擊測(cè)試。,應(yīng)用服務(wù)器的安全性測(cè)試技術(shù),(四)使用計(jì)算機(jī)病毒及木馬測(cè)試系統(tǒng)的防護(hù)能力最典型的計(jì)算機(jī)病毒和木馬有“木馬代理”、“網(wǎng)游大盜”、“艾妮”、“熊貓燒香”、“QQ木馬”、“灰鴿子”等。有的木馬能繞過天網(wǎng)等大多數(shù)防火墻的攔截??梢岳眠@些典型病毒和木馬測(cè)試應(yīng)用服務(wù)器系統(tǒng)的防護(hù)能力,驗(yàn)證服務(wù)器檢測(cè)到病毒時(shí)的應(yīng)急能力。許多病毒和木馬在網(wǎng)上很容易下載到。可以使用網(wǎng)頁木馬生成器方便地生成木馬。也可以利用操作系統(tǒng)的Shell編程技術(shù)和Socket編程技術(shù)嘗試編寫新的攻擊程序,用于系統(tǒng)安全性測(cè)試。(五)數(shù)字取證測(cè)試?yán)孟到y(tǒng)中的日志、審計(jì)、Cookies、歷史記錄等功能,驗(yàn)證應(yīng)用服務(wù)器遭到攻擊后是否留下痕跡,便于取證。,- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 測(cè)試 應(yīng)用程序 安全性
鏈接地址:http://m.zhongcaozhi.com.cn/p-3411297.html