軟件安全測(cè)試本講要點(diǎn)1.軟件測(cè)試與軟件安全測(cè)試2.軟件安全功能測(cè)試3.代碼分析4.模糊測(cè)試5.滲透測(cè)試6.應(yīng)用案例1.軟件測(cè)試與軟件安全測(cè)試（1）軟件測(cè)試主要工作：軟件測(cè)試的目標(biāo)在軟件投入生產(chǎn)性運(yùn)行之前，盡可能多地發(fā)現(xiàn)軟件中的錯(cuò)誤。軟件測(cè)試是保證軟件質(zhì)量的關(guān)鍵步驟，它是對(duì)軟件規(guī)格說明、設(shè)計(jì)和編碼的最后復(fù)審。代碼檢測(cè)軟件測(cè)試的方法常用的兩種軟件測(cè)試方法是白盒測(cè)試和黑盒測(cè)試。1.軟件測(cè)試與軟件安全測(cè)試（1）軟件測(cè)試主要工作：軟件測(cè)試的步驟1）模塊測(cè)試2）子系統(tǒng)測(cè)試3）系統(tǒng)測(cè)試4）驗(yàn)收測(cè)試5）平行運(yùn)行1.軟件測(cè)試與軟件安全測(cè)試（2）軟件安全測(cè)試主要工作：軟件安全測(cè)試的概念軟件安全測(cè)試的目標(biāo)驗(yàn)證軟件系統(tǒng)的安全功能是否滿足安全需求。發(fā)現(xiàn)系統(tǒng)的安全漏洞，并最終把這些漏洞的數(shù)量降到最低。評(píng)估軟件的其他質(zhì)量屬性，包括可靠性、可存活性等。軟件安全測(cè)試的內(nèi)容軟件安全功能測(cè)試。軟件安全漏洞測(cè)試。1.軟件測(cè)試與軟件安全測(cè)試（2）軟件安全測(cè)試主要工作：軟件安全測(cè)試的概念軟件安全測(cè)試的原則應(yīng)盡早進(jìn)行軟件安全測(cè)試，越晚發(fā)現(xiàn)漏洞，修復(fù)的成本越高。在有限的時(shí)間和資源下進(jìn)行測(cè)試，找出軟件所有的錯(cuò)誤和缺陷是不可能的，軟件測(cè)試不能無限進(jìn)行下去，應(yīng)適時(shí)終止。在軟件安全測(cè)試中同樣如此，應(yīng)該通過威脅建模等方法，優(yōu)先測(cè)試高風(fēng)險(xiǎn)模塊。軟件安全沒有銀彈。程序員應(yīng)避免檢查自己的程序。同樣，軟件安全測(cè)試也應(yīng)該如此。盡量避免測(cè)試的隨意性。1.軟件測(cè)試與軟件安全測(cè)試（2）軟件安全測(cè)試主要工作：軟件測(cè)試與軟件安全測(cè)試的區(qū)別軟件測(cè)試主要是從最終用戶的角度出發(fā)發(fā)現(xiàn)缺陷并修復(fù)，保證軟件滿足最終用戶的要求。軟件安全測(cè)試則是從攻擊者的角度出發(fā)發(fā)現(xiàn)漏洞并修復(fù)，保證軟件不被惡意攻擊者破壞。1.軟件測(cè)試與軟件安全測(cè)試（2）軟件安全測(cè)試主要工作：軟件安全測(cè)試的方法1.軟件測(cè)試與軟件安全測(cè)試（2）軟件安全測(cè)試主要工作：軟件安全測(cè)試的基本框架1）制定安全測(cè)試策略。2）設(shè)計(jì)基于風(fēng)險(xiǎn)的安全測(cè)試計(jì)劃。3）規(guī)范化的軟件安全需求。4）軟件結(jié)構(gòu)風(fēng)險(xiǎn)分析5）執(zhí)行軟件安全測(cè)試。6）測(cè)試環(huán)境管理。7）測(cè)試數(shù)據(jù)管理。2.軟件安全功能測(cè)試（1）保密性測(cè)試：1）標(biāo)準(zhǔn)遵從2）數(shù)據(jù)驗(yàn)證3）加密算法的驗(yàn)證檢測(cè)加密算法的強(qiáng)度。檢測(cè)偽隨機(jī)數(shù)產(chǎn)生方法。加密密鑰不能被明文硬編碼到程序源代碼中，密鑰的生成、交換、存儲(chǔ)、恢復(fù)、歸檔和丟棄過程也必須被驗(yàn)證。2.軟件安全功能測(cè)試（1）保密性測(cè)試：4）與保密性機(jī)制相關(guān)的其他安全問題未對(duì)加密數(shù)據(jù)進(jìn)行簽名，導(dǎo)致攻擊者可以篡改數(shù)據(jù)。重要數(shù)據(jù)（如網(wǎng)上支付信息）傳輸過程中未進(jìn)行有效的加密處理。身份驗(yàn)證算法存在缺陷，身份標(biāo)識(shí)（如會(huì)話密鑰）的唯一性、隨機(jī)性和強(qiáng)度可以采用相空間分析、資源與時(shí)間允許條件限制等方法進(jìn)行驗(yàn)證，這些測(cè)試都需要進(jìn)行。客戶機(jī)和服務(wù)器時(shí)鐘未同步，從而給攻擊者留下足夠的時(shí)間來破解密碼或修改數(shù)據(jù)。提交的表單中對(duì)敏感字符的限制和轉(zhuǎn)換存在問題。網(wǎng)頁出錯(cuò)反饋導(dǎo)致信息泄露問題等。2.軟件安全功能測(cè)試（2）完整性測(cè)試：數(shù)據(jù)完整性測(cè)試文件完整性檢測(cè)。數(shù)據(jù)庫完整性測(cè)試。系統(tǒng)完整性測(cè)試主要檢測(cè)主機(jī)系統(tǒng)是否未經(jīng)授權(quán)進(jìn)行了更改或破壞，包括日志完整性、文件完整性、注冊(cè)表完整性、進(jìn)程完整性、服務(wù)完整性。完整性保護(hù)主要通過哈希函數(shù)和數(shù)據(jù)簽名機(jī)制來實(shí)現(xiàn)。2.軟件安全功能測(cè)試（3）可用性測(cè)試：測(cè)試軟件能夠達(dá)到預(yù)期使用目的的程度（有效性）。測(cè)試軟件達(dá)到目的所花費(fèi)的資源（效率）。測(cè)試用戶發(fā)現(xiàn)該軟件產(chǎn)品使用可接受的程度（用戶滿意度）。2.軟件安全功能測(cè)試（4）可認(rèn)證性測(cè)試：身份認(rèn)證測(cè)試用戶賬戶命名規(guī)范認(rèn)證密鑰的管理認(rèn)證憑證管理數(shù)據(jù)源發(fā)認(rèn)證測(cè)試信息接收者驗(yàn)證信息發(fā)送者的身份、確認(rèn)信息在離開信息發(fā)送者之后的完整性以及消息的新鮮性。2.軟件安全功能測(cè)試（5）授權(quán)測(cè)試：授權(quán)是認(rèn)證成功之后用戶訪問權(quán)限分配的過程。授權(quán)測(cè)試意味著需要理解授權(quán)是如何實(shí)現(xiàn)訪問控制目標(biāo)的，以及如何利用這些信息來繞過授權(quán)機(jī)制。授權(quán)測(cè)試的內(nèi)容包括檢查用戶權(quán)限是否進(jìn)行了適當(dāng)?shù)牡燃?jí)劃分。授權(quán)測(cè)試的具體實(shí)例如：用戶登錄和權(quán)限分配狀況，以驗(yàn)證用戶權(quán)限的正確性；是否明確區(qū)分系統(tǒng)中不同用戶權(quán)限；系統(tǒng)會(huì)不會(huì)因?yàn)橛脩魴?quán)限的改變而造成混亂等。2.軟件安全功能測(cè)試（6）可記賬性/審計(jì)測(cè)試：1）系統(tǒng)及性能監(jiān)控2）日志分析3）事件監(jiān)控4）監(jiān)控方法與工具3.代碼分析（1）代碼靜態(tài)分析與動(dòng)態(tài)分析的概念：靜態(tài)代碼分析代碼靜態(tài)分析的內(nèi)容代碼靜態(tài)分析采用的技術(shù)代碼靜態(tài)分析的方法代碼靜態(tài)分析的優(yōu)缺點(diǎn)分析動(dòng)態(tài)代碼分析代碼動(dòng)態(tài)分析是指對(duì)正在運(yùn)行的代碼（或程序）進(jìn)行檢查。代碼動(dòng)態(tài)分析可用于確保代碼正常可靠地運(yùn)行。3.代碼分析（2）源代碼靜態(tài)分析的一般過程：1）確定目標(biāo)這個(gè)階段的工作主要包括確定本次審查的安全目標(biāo)、審查的內(nèi)容以及審查前的準(zhǔn)備工作。2）運(yùn)行工具在規(guī)則庫的作用下識(shí)別漏洞。除了工具自帶的規(guī)則庫外，常常還需要根據(jù)測(cè)試代碼的特點(diǎn)來增加自定義規(guī)則庫。如果現(xiàn)有靜態(tài)工具不能滿足使用需求，也可以選擇自行搭建自動(dòng)化的靜態(tài)代碼分析平臺(tái)。3.代碼分析（2）源代碼靜態(tài)分析的一般過程：3）報(bào)告結(jié)果工具運(yùn)行完畢后會(huì)形成詳細(xì)的結(jié)果報(bào)告，還需要分析人員對(duì)審查結(jié)果進(jìn)行確認(rèn)，去除其中的誤報(bào)。不要局限于結(jié)果報(bào)告，要發(fā)現(xiàn)潛在的問題，分析工具經(jīng)常會(huì)在敏感操作代碼的位置報(bào)告一個(gè)問題，其附近代碼也可能存在問題，分析人員也應(yīng)重點(diǎn)關(guān)注。如果發(fā)現(xiàn)了一個(gè)分析工具沒有報(bào)告的問題，還需要分析如何設(shè)定規(guī)則才能發(fā)現(xiàn)這個(gè)問題，將該規(guī)則補(bǔ)充到規(guī)則庫中，并不斷完善優(yōu)化。3.代碼分析（2）源代碼靜態(tài)分析的一般過程：4）修復(fù)漏洞開發(fā)人員需要修復(fù)審查人員提交的漏洞。漏洞修復(fù)完成后，應(yīng)進(jìn)行漏洞可利用性判定，避免出現(xiàn)可利用的漏洞沒有被修復(fù)的情況。開發(fā)人員修復(fù)后，審查人員還需要驗(yàn)證修復(fù)是否正確。3.代碼分析（3）源代碼靜態(tài)分析工具：商業(yè)軟件FortifyStaticCodeAnalyzerCoverity免費(fèi)（開源）軟件LAPSEFindSecurityBugsFlawfinderRIPSCodeXploiterSeay源代碼審計(jì)系統(tǒng)4.模糊測(cè)試（1）模糊測(cè)試的概念：模糊測(cè)試技術(shù)的核心思想通過監(jiān)視非預(yù)期輸入可能產(chǎn)生的異常結(jié)果來發(fā)現(xiàn)軟件問題。就是使用大量半有效的數(shù)據(jù)作為應(yīng)用程序的輸入，以程序是否出現(xiàn)異常作為標(biāo)志，來發(fā)現(xiàn)應(yīng)用程序中可能存在的安全漏洞。所謂半有效的數(shù)據(jù)是指，對(duì)應(yīng)用程序來說，測(cè)試用例的必要標(biāo)識(shí)部分和大部分?jǐn)?shù)據(jù)是有效的，這樣待測(cè)程序就會(huì)認(rèn)為這是一個(gè)有效的數(shù)據(jù)，但同時(shí)該數(shù)據(jù)的其他部分是無效的。這樣，應(yīng)用程序就有可能發(fā)生錯(cuò)誤，這種錯(cuò)誤可能導(dǎo)致應(yīng)用程序的崩潰或者觸發(fā)相應(yīng)的安全漏洞。4.模糊測(cè)試（1）模糊測(cè)試的概念：模糊測(cè)試的方法1）預(yù)生成測(cè)試用例2）隨機(jī)生成輸入3）手工協(xié)議變異測(cè)試4）變異或強(qiáng)制性測(cè)試5）自動(dòng)協(xié)議生成測(cè)試4.模糊測(cè)試（1）模糊測(cè)試的概念：模糊測(cè)試的優(yōu)點(diǎn)模糊測(cè)試的測(cè)試目標(biāo)是二進(jìn)制可執(zhí)行代碼，比基于源代碼的白盒測(cè)試適用范圍更廣。模糊測(cè)試是動(dòng)態(tài)實(shí)際執(zhí)行的，不存在靜態(tài)分析技術(shù)中存在的大量誤報(bào)問題。模糊測(cè)試的原理簡(jiǎn)單，沒有大量的理論推導(dǎo)和公式計(jì)算，不存在符號(hào)執(zhí)行技術(shù)中的路徑狀態(tài)爆炸問題。模糊測(cè)試自動(dòng)化程度高，不需要逆向工程中大量的人工參與。4.模糊測(cè)試（1）模糊測(cè)試的概念：模糊測(cè)試的局限性訪問控制漏洞的發(fā)現(xiàn)能力有限。設(shè)計(jì)邏輯缺陷的發(fā)現(xiàn)能力有限。多階段安全漏洞的發(fā)現(xiàn)能力有限。多點(diǎn)觸發(fā)漏洞的發(fā)現(xiàn)能力有限。模糊測(cè)試技術(shù)不能保證畸形輸入數(shù)據(jù)能夠覆蓋到所有的分支代碼。4.模糊測(cè)試（2）模糊測(cè)試的過程：4.模糊測(cè)試（3）模糊測(cè)試工具：文字處理軟件的模糊測(cè)試工具FileFuzzSPIKEfilenotSPIKEfilePaiMei網(wǎng)絡(luò)協(xié)議的模糊測(cè)試工具SulleySPIKEPeachFuzzer4.模糊測(cè)試（3）模糊測(cè)試工具：Web應(yīng)用程序的模糊測(cè)試工具PowerfuzzerSPIKEProxyWebScarabWebInspect4.模糊測(cè)試（3）模糊測(cè)試工具：Web瀏覽器的模糊測(cè)試COMRaiderManglemeHamachiCSSDIE其他模糊測(cè)試工具AmericanFuzzyLop5.滲透測(cè)試（1）滲透測(cè)試的概念：滲透測(cè)試技術(shù)的核心思想模仿黑客的特定攻擊行為，也就是盡可能完整地模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對(duì)目標(biāo)的安全性作深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱環(huán)節(jié)的過程。5.滲透測(cè)試（1）滲透測(cè)試的概念：滲透測(cè)試的方法1）根據(jù)測(cè)試執(zhí)行人員對(duì)目標(biāo)系統(tǒng)環(huán)境相關(guān)信息掌握程度的不同，可以分為兩種類型。黑盒滲透測(cè)試白盒滲透測(cè)試2）根據(jù)執(zhí)行滲透測(cè)試范圍的不同，可以分為3種類型：內(nèi)網(wǎng)測(cè)試外網(wǎng)測(cè)試不同網(wǎng)段/VLAN之間的滲透測(cè)試5.滲透測(cè)試（2）滲透測(cè)試的過程：《滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)》將滲透測(cè)試過程分為以下7個(gè)階段。1）前期交互（Pre-engagementInteractions）2）情報(bào)收集（IntelligenceGathering）3）威脅建模（ThreatModeling）4）漏洞分析（VulnerabilityAnalysis）5）滲透攻擊（Exploitation）6）后滲透攻擊（PostExploitation）7）報(bào)告（Reporting）5.滲透測(cè)試（3