如何做好軟件安全測試

1、如何做好軟件安全測試近來，在我負(fù)責(zé)的公司某軟件產(chǎn)品的最后測試工作，常常被問到這樣一個問題：在做測試過程中，我們的軟件產(chǎn)品在安全性方面考慮了多少 ?應(yīng)該如何測評一個軟件到底有多安全 ?這個軟件因為涉及客戶商業(yè)上重要的信息資料，因此用戶關(guān)心的核心問題始終圍繞“這個軟件安全嗎”。一個由于設(shè)計導(dǎo)致的安全漏洞和一個由于實現(xiàn)導(dǎo)致的安全漏洞，對用戶的最終影響都是巨大的。我的任務(wù)就是確保這個軟件在安全性方面能滿足客戶期望。什么是軟件安全性測試(1) 什么是軟件安全軟件安全屬于軟件領(lǐng)域里一個重要的子領(lǐng)域。 在以前的單機(jī)時代， 安全問題主要是操作系統(tǒng)容易感染病毒，單機(jī)應(yīng)用程序軟件安全問題并不突出。但是自從互聯(lián)網(wǎng)普

2、及后，軟件安全問題愈加顯加突顯，使得軟件安全性測試的重要性上升到一個前所未有的高度。軟件安全一般分為兩個層次， 即應(yīng)用程序級別的安全性和操作系統(tǒng)級別的安全性。 應(yīng)用程序級別的安全性，包括對數(shù)據(jù)或業(yè)務(wù)功能的訪問，在預(yù)期的安全性情況下，操作者只能訪問應(yīng)用程序的特定功能、有限的數(shù)據(jù)等。操作系統(tǒng)級別的安全性是確保只有具備系統(tǒng)平臺訪問權(quán)限的用戶才能訪問，包括對系統(tǒng)的登錄或遠(yuǎn)程訪問。本文所講的軟件安全主要是應(yīng)用程序?qū)拥陌踩▋蓚€層面：是應(yīng)用程序本身的安全性。一般來說，應(yīng)用程序的安全問題主要是由軟件漏洞導(dǎo)致的，這些漏洞可以是設(shè)計上的缺陷或是編程上的問題，甚至是開發(fā)人員預(yù)留的后門。是應(yīng)用程序的數(shù)據(jù)安全，包

3、括數(shù)據(jù)存儲安全和數(shù)據(jù)傳輸安全兩個方面。(2) 軟件安全性測試一般來說，對安全性要求不高的軟件，其安全性測試可以混在單元測試、集成測試、系統(tǒng)測試?yán)镆黄鹱?。但對安全性有較高需求的軟件，則必須做專門的安全性測試，以便在破壞之前預(yù)防并識別軟件的安全問題。安全性測試 (Security Testing) 是指有關(guān)驗證應(yīng)用程序的安全等級和識別潛在安全性缺陷的過程。應(yīng)用程序級安全測試的主要目的是查找軟件自身程序設(shè)計中存在的安全隱患，并檢查應(yīng)用程序?qū)Ψ欠ㄇ秩氲姆婪赌芰?, 根據(jù)安全指標(biāo)不同測試策略也不同。注意：安全性測試并不最終證明應(yīng)用程序是安全的，而是用于驗證所設(shè)立策略的有效性，這些對策是基于威脅分析階段所

4、做的假設(shè)而選擇的。例如，測試應(yīng)用軟件在防止非授權(quán)的內(nèi)部或外部用戶的訪問或故意破壞等情況時的運(yùn)作。軟件安全性測試過程(1) 安全性測試方法有許多的測試手段可以進(jìn)行安全性測試，目前主要安全測試方法有：精選文庫靜態(tài)的代碼安全測試：主要通過對源代碼進(jìn)行安全掃描，根據(jù)程序中數(shù)據(jù)流、控制流、語義等信息與其特有軟件安全規(guī)則庫進(jìn)行匹對，從中找出代碼中潛在的安全漏洞。靜態(tài)的源代碼安全測試是非常有用的方法，它可以在編碼階段找出所有可能存在安全風(fēng)險的代碼，這樣開發(fā)人員可以在早期解決潛在的安全問題。而正因為如此，靜態(tài)代碼測試比較適用于早期的代碼開發(fā)階段，而不是測試階段。動態(tài)的滲透測試：滲透測試也是常用的安全測試方法。

5、是使用自動化工具或者人工的方法模擬黑客的輸入，對應(yīng)用系統(tǒng)進(jìn)行攻擊性測試，從中找出運(yùn)行時刻所存在的安全漏洞。這種測試的特點就是真實有效，一般找出來的問題都是正確的，也是較為嚴(yán)重的。但滲透測試一個致命的缺點是模擬的測試數(shù)據(jù)只能到達(dá)有限的測試點，覆蓋率很低。程序數(shù)據(jù)掃描。一個有高安全性需求的軟件，在運(yùn)行過程中數(shù)據(jù)是不能遭到破壞的，否則就會導(dǎo)致緩沖區(qū)溢出類型的攻擊。數(shù)據(jù)掃描的手段通常是進(jìn)行內(nèi)存測試，內(nèi)存測試可以發(fā)現(xiàn)許多諸如緩沖區(qū)溢出之類的漏洞，而這類漏洞使用除此之外的測試手段都難以發(fā)現(xiàn)。例如，對軟件運(yùn)行時的內(nèi)存信息進(jìn)行掃描，看是否存在一些導(dǎo)致隱患的信息，當(dāng)然這需要專門的工具來進(jìn)行驗證，手工做是比較困難

6、的。(2) 反向安全性測試過程大部分軟件的安全測試都是依據(jù)缺陷空間反向設(shè)計原則來進(jìn)行的， 即事先檢查哪些地方可能存在安全隱患，然后針對這些可能的隱患進(jìn)行測試。因此，反向測試過程是從缺陷空間出發(fā)，建立缺陷威脅模型，通過威脅模型來尋找入侵點，對入侵點進(jìn)行已知漏洞的掃描測試。好處是可以對已知的缺陷進(jìn)行分析，避免軟件里存在已知類型的缺陷，但是對未知的攻擊手段和方法通常會無能為力。建立缺陷威脅模型。 建立缺陷威脅模型主要是從已知的安全漏洞入手， 檢查軟件中是否存在已知的漏洞。建立威脅模型時，需要先確定軟件牽涉到哪些專業(yè)領(lǐng)域，再根據(jù)各個專業(yè)領(lǐng)域所遇到的攻擊手段來進(jìn)行建模。尋找和掃描入侵點。檢查威脅模型里的

7、哪些缺陷可能在本軟件中發(fā)生，再將可能發(fā)生的威脅納入入侵點矩陣進(jìn)行管理。如果有成熟的漏洞掃描工具，那么直接使用漏洞掃描工具進(jìn)行掃描，然后將發(fā)現(xiàn)的可疑問題納入入侵點矩陣進(jìn)行管理。入侵矩陣的驗證測試。創(chuàng)建好入侵矩陣后，就可以針對入侵矩陣的具體條目設(shè)計對應(yīng)的測試用例，然后進(jìn)行測試驗證。(3) 正向安全性測試過程為了規(guī)避反向設(shè)計原則所帶來的測試不完備性，需要一種正向的測試方法來對軟件進(jìn)行比較完備的測試，使測試過的軟件能夠預(yù)防未知的攻擊手段和方法。先標(biāo)識測試空間。對測試空間的所有的可變數(shù)據(jù)進(jìn)行標(biāo)識，由于進(jìn)行安全性測試的代價高昂，其中要重點對外部輸入層進(jìn)行標(biāo)識。例如，需求分析、概要設(shè)計、詳細(xì)設(shè)計、編碼這幾個

8、階段都要對測試空間進(jìn)行標(biāo)識，并建立測試空間跟蹤矩陣。精確定義設(shè)計空間。重點審查需求中對設(shè)計空間是否有明確定義，和需求牽涉到的數(shù)據(jù)是否都標(biāo)識出了-2精選文庫它的合法取值范圍。在這個步驟中，最需要注意的是精確二字，要嚴(yán)格按照安全性原則來對設(shè)計空間做精確的定義。標(biāo)識安全隱患。根據(jù)找出的測試空間和設(shè)計空間以及它們之間的轉(zhuǎn)換規(guī)則，標(biāo)識出哪些測試空間和哪些轉(zhuǎn)換規(guī)則可能存在安全隱患。例如 ,測試空間愈復(fù)雜，即測試空間劃分越復(fù)雜或可變數(shù)據(jù)組合關(guān)系越多也越不安全。還有轉(zhuǎn)換規(guī)則愈復(fù)雜，則出問題的可能性也愈大，這些都屬于安全隱患。建立和驗證入侵矩陣。安全隱患標(biāo)識完成后，就可以根據(jù)標(biāo)識出來的安全隱患建立入侵矩陣。列出

9、潛在安全隱患，標(biāo)識出存在潛在安全隱患的可變數(shù)據(jù)，和標(biāo)識出安全隱患的等級。其中對于那些安全隱患等級高的可變數(shù)據(jù)，必須進(jìn)行詳盡的測試用例設(shè)計。(4) 正向和反向測試的區(qū)別正向測試過程是以測試空間為依據(jù)尋找缺陷和漏洞，反向測試過程則是以已知的缺陷空間為依據(jù)去尋找軟件中是否會發(fā)生同樣的缺陷和漏洞，兩者各有其優(yōu)缺點。反向測試過程主要的一個優(yōu)點是成本較低，只要驗證已知的可能發(fā)生的缺陷即可，但缺點是測試不完善，無法將測試空間覆蓋完整，無法發(fā)現(xiàn)未知的攻擊手段。正向測試過程的優(yōu)點是測試比較充分，但工作量相對來說較大。因此，對安全性要求較低的軟件，一般按反向測試過程來測試即可，對于安全性要求較高的軟件，應(yīng)以正向測

10、試過程為主，反向測試過程為輔。常見的軟件安全性缺陷和漏洞軟件的安全有很多方面的內(nèi)容，主要的安全問題是由軟件本身的漏洞造成的，下面介紹常見的軟件安全性缺陷和漏洞。(1) 緩沖區(qū)溢出緩沖區(qū)溢出已成為軟件安全的頭號公敵，許多實際中的安全問題都與它有關(guān)。造成緩沖區(qū)溢出問題通常有以下兩種原因。設(shè)計空間的轉(zhuǎn)換規(guī)則的校驗問題。即缺乏對可測數(shù)據(jù)的校驗，導(dǎo)致非法數(shù)據(jù)沒有在外部輸入層被檢查出來并丟棄。非法數(shù)據(jù)進(jìn)入接口層和實現(xiàn)層后，由于它超出了接口層和實現(xiàn)層的對應(yīng)測試空間或設(shè)計空間的范圍，從而引起溢出。局部測試空間和設(shè)計空間不足。當(dāng)合法數(shù)據(jù)進(jìn)入后，由于程序?qū)崿F(xiàn)層內(nèi)對應(yīng)的測試空間或設(shè)計空間不足，導(dǎo)致程序處理時出現(xiàn)溢出

11、。(2) 加密弱點這幾種加密弱點是不安全的：使用不安全的加密算法。加密算法強(qiáng)度不夠，一些加密算法甚至可以用窮舉法破解。加密數(shù)據(jù)時密碼是由偽隨機(jī)算法產(chǎn)生的，而產(chǎn)生偽隨機(jī)數(shù)的方法存在缺陷，使密碼很容易被破解。身份驗證算法存在缺陷?？蛻魴C(jī)和服務(wù)器時鐘未同步，給攻擊者足夠的時間來破解密碼或修改數(shù)據(jù)。未對加密數(shù)據(jù)進(jìn)行簽名，導(dǎo)致攻擊者可以篡改數(shù)據(jù)。所以，對于加密進(jìn)行測試時，必須針對這些可能存在的加密弱點進(jìn)行測試。(3) 錯誤處理一般情況下，錯誤處理都會返回一些信息給用戶，返回的出錯信息可能會被惡意用戶利用來進(jìn)行攻擊，惡意用戶能夠通過分析返回的錯誤信息知道下一步要如何做才能使攻擊成功。如果錯誤處理時調(diào)用了一

12、些不-3精選文庫該有的功能，那么錯誤處理的過程將被利用。錯誤處理屬于異常空間內(nèi)的處理問題，異?？臻g內(nèi)的處理要盡量簡單，使用這條原則來設(shè)計可以避免這個問題。但錯誤處理往往牽涉到易用性方面的問題，如果錯誤處理的提示信息過于簡單，用戶可能會一頭霧水，不知道下一步該怎么操作。所以 , 在考慮錯誤處理的安全性的同時，需要和易用性一起進(jìn)行權(quán)衡。(4) 權(quán)限過大如果賦予過大的權(quán)限，就可能導(dǎo)致只有普通用戶權(quán)限的惡意用戶利用過大的權(quán)限做出危害安全的操作。例如沒有對能操作的內(nèi)容做出限制，就可能導(dǎo)致用戶可以訪問超出規(guī)定范圍的其他資源。進(jìn)行安全性測試時必須測試應(yīng)用程序是否使用了過大的權(quán)限，重點要分析在各種情況下應(yīng)該有

13、的權(quán)限，然后檢查實際中是否超出了給定的權(quán)限。權(quán)限過大問題本質(zhì)上屬于設(shè)計空間過大問題，所以在設(shè)計時要控制好設(shè)計空間，避免設(shè)計空間過大造成權(quán)限過大的問題。做好安全性測試的建議許多軟件安全測試經(jīng)驗告訴我們，做好軟件安全性測試的必要條件是：一是充分了解軟件安全漏洞，二是評估安全風(fēng)險，三是擁有高效的軟件安全測試技術(shù)和工具。(1) 充分了解軟件安全漏洞評估一個軟件系統(tǒng)的安全程度，需要從設(shè)計、實現(xiàn)和部署三個環(huán)節(jié)同時著手。我們先看一下CommonCriteria是如何評估軟件系統(tǒng)安全的。首先要確定軟件產(chǎn)品對應(yīng)的Protection Profile(PP)。一個 PP 定義了一類軟件產(chǎn)品的安全特性模板。例如數(shù)據(jù)

14、庫的 PP、防火墻的 PP 等。然后，根據(jù) PP 再提出具體的安全功能需求，如用戶的身份認(rèn)證實現(xiàn)。最后，確定安全對象以及是如何滿足對應(yīng)的安全功能需求的。因此，一個安全軟件的三個環(huán)節(jié)，哪個出問題都不行。(2) 安全性測試的評估當(dāng)做完安全性測試后， 軟件是否能夠達(dá)到預(yù)期的安全程度呢 ?這是安全性測試人員最關(guān)心的問題， 因此需要建立對測試后的安全性評估機(jī)制。一般從以下兩個方面進(jìn)行評估。安全性缺陷數(shù)據(jù)評估。如果發(fā)現(xiàn)軟件的安全性缺陷和漏洞越多，可能遺留的缺陷也越多。進(jìn)行這類評估時，必須建立基線數(shù)據(jù)作為參照，否則評估起來沒有依據(jù)就無法得到正確的結(jié)論。采用漏洞植入法來進(jìn)行評估。漏洞植入法和可靠性測試?yán)锏墓收喜迦霚y試是同一道理，只不過這里是在軟件里插入一些有安全隱患的問題。采用漏洞植入法時，先讓不參加安全測試的特定人員在軟件中預(yù)先植入一定數(shù)量的漏洞， 最后測試完后看有多少植入的漏洞被發(fā)現(xiàn)，以此