軟件評(píng)測師寫作專欄之安全測試的基礎(chǔ)知識(shí)26

各位學(xué)員大家好，大家在學(xué)習(xí)軟件測試基礎(chǔ)知識(shí)時(shí)，安全測試已經(jīng)成了必不可少的一部分。為了讓大家快速掌握這方面的知識(shí)點(diǎn)，接下來就帶領(lǐng)大家一起來學(xué)習(xí)一下！

例題：以下不屬于安全測試方法的是（）

A、安全功能驗(yàn)證

B、安全漏洞掃描

C、大數(shù)據(jù)量測試

D、數(shù)據(jù)偵聽

【昊洋詳解】： 安全測試方法包括安全功能驗(yàn)證、安全漏洞掃描、模擬攻擊實(shí)驗(yàn)和數(shù)據(jù)偵聽。具體內(nèi)容如下所示：

1 ）、安全功能驗(yàn)證： 對(duì)軟件需求中確定的有關(guān)安全模塊的功能進(jìn)行測試驗(yàn)證。例如權(quán)限管理模塊，數(shù)據(jù)機(jī)密模塊，傳輸加密模塊，數(shù)據(jù)備份和恢復(fù)等模塊一般都會(huì)有對(duì)應(yīng)安全功能設(shè)置。安全功能驗(yàn)證的方法和一般程序測試類似，主要有以下三種：黑盒測試、白盒測試和灰盒測試。

2 ）、安全漏洞掃描： 用漏洞掃描軟件對(duì)信息系統(tǒng)和應(yīng)用軟件有針對(duì)性地對(duì)有關(guān)漏洞進(jìn)行掃描，然后發(fā)現(xiàn)漏洞后做好有效防范后補(bǔ)救措施，也可以采取保護(hù)措施防止非法者利用已知漏洞進(jìn)行攻擊。常見的漏洞有：

拒絕服務(wù)（Dos）漏洞： 故意的攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對(duì)象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰，而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。

本地用戶擴(kuò)權(quán)漏洞： 本地普通級(jí)別用戶利用程序漏洞非法擁有其他用戶甚至超級(jí)用戶的權(quán)限，從而使得系統(tǒng)遭到破壞。

遠(yuǎn)程用戶擴(kuò)權(quán)漏洞： 遠(yuǎn)程普通用戶利用系統(tǒng)服務(wù)中的漏洞，未經(jīng)授權(quán)就進(jìn)入了系統(tǒng)訪問，從而進(jìn)行不可預(yù)知的破壞行為。

3 ）、模擬攻擊實(shí)驗(yàn)： 將自己假裝成類似于黑客的非法入侵的攻擊者，利用目前存在的系統(tǒng)漏洞和常用的攻擊手段，對(duì)提交評(píng)測的系統(tǒng)進(jìn)行開發(fā)環(huán)境或試用環(huán)境里的攻擊，以發(fā)現(xiàn)安全問題。主要四種攻擊技術(shù)為：

服務(wù)拒絕（Dos）型攻擊： 企圖通過使服務(wù)器崩潰的方式來阻止其提供服務(wù)，主要手段包括：死亡之ping，淚滴，UDP洪水，SYN洪水，Land攻擊，Smurf攻擊，F(xiàn)raggle攻擊，電子郵件炸彈和畸形消息攻擊等。

漏洞木馬型攻擊： 主要是由于系統(tǒng)使用者粗心大意或者已知系統(tǒng)漏洞但未及時(shí)打補(bǔ)丁，又或者不小心安放了木馬等原因?qū)е碌姆欠ㄈ肭中袨?，主要包括：口令猜測，特洛伊木馬和緩沖區(qū)溢出3種方式；

信息收集類技術(shù)： 本身不會(huì)對(duì)目標(biāo)服務(wù)器造成危害，收集大量有關(guān)系統(tǒng)的信息，為非法者非法入侵提供了便利，主要使用的技術(shù)有：掃描技術(shù)、體系結(jié)構(gòu)刺探和利用信息服務(wù)3種。

偽裝欺騙型攻擊： 用于攻擊目標(biāo)配置不正確的消息，主要包括DNS高速緩存污染，偽造電子郵件，ARP欺騙和IP欺騙四種方式。

4 ）、數(shù)據(jù)偵聽： 也稱為“網(wǎng)絡(luò)監(jiān)聽”，用于獲取在網(wǎng)絡(luò)上傳輸?shù)男畔?，但這些信息不是發(fā)給自己的。網(wǎng)絡(luò)偵聽技術(shù)可以有效地管理網(wǎng)絡(luò)，針對(duì)網(wǎng)絡(luò)問題和檢查網(wǎng)絡(luò)的安全威脅。如果偵聽技術(shù)工具被非法用戶利用，也可能成為入侵者的入侵手段。

本題中的C選項(xiàng)大數(shù)據(jù)量測試是一種負(fù)載壓力測試方法，不屬于安全測試的范疇，故該題目的正確答案為C。
鞏固練習(xí)題

（1）以下不屬于安全防護(hù)策略的是（? ）

A、入侵檢測

B、隔離防護(hù)

C、安全測試

D、漏洞掃描
（2）安全日志是軟件產(chǎn)品的一種被動(dòng)防范措施，是系統(tǒng)重要的安全功能，因此安全日志測試是軟件系統(tǒng)安全性測試的重要內(nèi)容，下列不屬于安全日志測試基本測試內(nèi)容的是（）

A、對(duì)安全日志的完整性進(jìn)行測試，測試安全日志中是否記錄包括用戶登錄名稱、時(shí)間、地址、數(shù)據(jù)操作行為以及退出時(shí)間等全部內(nèi)容

B、對(duì)安全日志的正確性進(jìn)行測試，測試安全日志中記錄的用戶登錄、數(shù)據(jù)操作等日志信息是否正確

C、對(duì)日志信息的保密性進(jìn)行測試：測試安全日志中的日志信息是否加密存儲(chǔ)，加密強(qiáng)度是否充分

D、對(duì)于大型應(yīng)用軟件系統(tǒng)：測試系統(tǒng)是否提供安全日志的統(tǒng)計(jì)分析能力
（3）用戶口令測試應(yīng)考慮的測試點(diǎn)包括(?)。

①口令時(shí)效 ②口令長度③口令復(fù)雜度 ④口令鎖定

A、①③④

B、②③④

C、①②③

D、①②③④
練習(xí)題參考答案

（1）解析： 本題考查信息安全和安全測試的基礎(chǔ)知識(shí)。

信息安全防護(hù)策略 包括入侵檢測、隔離防護(hù)、安全日志和漏洞掃描四種。具體內(nèi)容如下所示：

1 ）、入侵檢測： 是一種主動(dòng)的網(wǎng)格防護(hù)措施，從系統(tǒng)內(nèi)部或各種網(wǎng)絡(luò)資源中主動(dòng)采取信息，從中分析可能的網(wǎng)絡(luò)入侵或攻擊，通常IDS還應(yīng)對(duì)入侵行為做出緊急響應(yīng)。

2 ）、隔離防護(hù)： 是將系統(tǒng)中的安全部分和非安全部分進(jìn)行隔離的措施，主要技術(shù)手段有防火墻和隔離網(wǎng)閘等，其中防火墻主要用于內(nèi)網(wǎng)和外網(wǎng)的邏輯隔離；而隔離網(wǎng)閘主要用于實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的物理隔離。

3 ）、安全日志： 用于記錄非法用戶的登錄名稱、操作時(shí)間等內(nèi)容信息。以便發(fā)現(xiàn)問題并提出解決措施。安全日志僅記錄相關(guān)信息，不對(duì)非法行為做出主動(dòng)反應(yīng)，屬于被動(dòng)防護(hù)策略。

4 ）、漏洞掃描： 對(duì)軟件系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)進(jìn)行與安全相關(guān)的檢測，找出安全隱患和可能被黑客利用的漏洞。

安全測試是在IT軟件產(chǎn)品的生命周期中，特別是產(chǎn)品開發(fā)基本完成到發(fā)布階段，對(duì)產(chǎn)品進(jìn)行檢驗(yàn)以驗(yàn)證產(chǎn)品符合安全需求定義和產(chǎn)品質(zhì)量標(biāo)準(zhǔn)的過程，不屬于安全防護(hù)策略的范疇。故該題目的正確答案為C。

?

（2）解析： 本題考查安全測試中安全日志測試的基礎(chǔ)知識(shí)。

安全日志 用于記錄非法用戶的登錄名稱、操作時(shí)間等內(nèi)容信息。以便發(fā)現(xiàn)問題并提出解決措施。安全日志僅記錄相關(guān)信息，不對(duì)非法行為做出主動(dòng)反應(yīng)，屬于被動(dòng)防護(hù)策略。

系統(tǒng)安全日志在每次開關(guān)機(jī)、運(yùn)行程序、系統(tǒng)報(bào)錯(cuò)時(shí)，這些信息都會(huì)被記錄下來，保存在日志文件中。但是日志本身是不需要加密存儲(chǔ)的，故該題目的正確答案為C。

?

（3）解析： 本題考查安全測試中用戶口令測試的基礎(chǔ)知識(shí)。

web系統(tǒng)容易受到攻擊，一般會(huì)對(duì)用戶名/口令（密碼）機(jī)制進(jìn)行認(rèn)證。對(duì)口令認(rèn)證機(jī)制測試應(yīng)包含的基本測試點(diǎn)如下所示：

1）、對(duì)用戶名稱測試的主要測試點(diǎn)在于測試用戶名稱的唯一性，即測試同時(shí)存在的用戶名稱在不考慮大小寫的情況下，不能夠同名。

2）、對(duì)用戶口令測試應(yīng)主要測試用戶口令是否滿足當(dāng)前流行的控制模式。主要測試點(diǎn)應(yīng)包括最大/最小口令時(shí)效、口令歷史、最小口令長度、口令復(fù)雜度、加密選項(xiàng)及口令鎖定等。因此本題①②③④都屬于用戶口令安全保護(hù)相關(guān)的內(nèi)容。

故該題目的正確答案為：D。
寫于2021年10月19日

軟件測試，如何測試網(wǎng)站的安全性呢

用戶認(rèn)證安全的測試要考慮問題：
1. 明確區(qū)分系統(tǒng)中不同用戶權(quán)限
2. 系統(tǒng)中會(huì)不會(huì)出現(xiàn)用戶沖突
3. 系統(tǒng)會(huì)不會(huì)因用戶的權(quán)限的改變?cè)斐苫靵y
4. 用戶登陸密碼是否是可見、可復(fù)制
5. 是否可以通過絕對(duì)途徑登陸系統(tǒng)（拷貝用戶登陸后的鏈接直接進(jìn)入系統(tǒng)）
6. 用戶推出系統(tǒng)后是否刪除了所有鑒權(quán)標(biāo)記，是否可以使用后退鍵而不通過輸入口令進(jìn)入系統(tǒng)
系統(tǒng)網(wǎng)絡(luò)安全的測試要考慮問題
1. 測試采取的防護(hù)措施是否正確裝配好，有關(guān)系統(tǒng)的補(bǔ)丁是否打上
2. 模擬非授權(quán)攻擊，看防護(hù)系統(tǒng)是否堅(jiān)固
3. 采用成熟的網(wǎng)絡(luò)漏洞檢查工具檢查系統(tǒng)相關(guān)漏洞（即用最專業(yè)的黑客攻擊工具攻擊試一下，現(xiàn)在最常用的是 NBSI 系列和 IPhacker IP ）
4. 采用各種木馬檢查工具檢查系統(tǒng)木馬情況
5. 采用各種防外掛工具檢查系統(tǒng)各組程序的客外掛漏洞
數(shù)據(jù)庫安全考慮問題：
1. 系統(tǒng)數(shù)據(jù)是否機(jī)密（比如對(duì)銀行系統(tǒng)，這一點(diǎn)就特別重要，一般的網(wǎng)站就沒有太高要求）
2. 系統(tǒng)數(shù)據(jù)的完整性（我剛剛結(jié)束的企業(yè)實(shí)名核查服務(wù)系統(tǒng)中就曾存在數(shù)據(jù)的不完整，對(duì)于這個(gè)系統(tǒng)的功能實(shí)現(xiàn)有了障礙）
3. 系統(tǒng)數(shù)據(jù)可管理性
4. 系統(tǒng)數(shù)據(jù)的獨(dú)立性
5. 系統(tǒng)數(shù)據(jù)可備份和恢復(fù)能力（數(shù)據(jù)備份是否完整，可否恢復(fù)，恢復(fù)是否可以完整）

如何做好軟件安全測試

一、軟件安全性測試基本概念
軟件安全性測試包括程序、網(wǎng)絡(luò)、數(shù)據(jù)庫安全性測試。根據(jù)系統(tǒng)安全指標(biāo)不同測試策略也不同。
1.用戶程序安全的測試要考慮問題包括：
① 明確區(qū)分系統(tǒng)中不同用戶權(quán)限;
② 系統(tǒng)中會(huì)不會(huì)出現(xiàn)用戶沖突;
③ 系統(tǒng)會(huì)不會(huì)因用戶的權(quán)限的改變?cè)斐苫靵y;
④ 用戶登陸密碼是否是可見、可復(fù)制;
⑤ 是否可以通過絕對(duì)途徑登陸系統(tǒng)(拷貝用戶登陸后的鏈接直接進(jìn)入系統(tǒng));
⑥ 用戶推出系統(tǒng)后是否刪除了所有鑒權(quán)標(biāo)記，是否可以使用后退鍵而不通過輸入口令進(jìn)入系統(tǒng)。
2.系統(tǒng)網(wǎng)絡(luò)安全的測試要考慮問題包括：
① 測試采取的防護(hù)措施是否正確裝配好，有關(guān)系統(tǒng)的補(bǔ)丁是否打上;
② 模擬非授權(quán)攻擊，看防護(hù)系統(tǒng)是否堅(jiān)固;
③ 采用成熟的網(wǎng)絡(luò)漏洞檢查工具檢查系統(tǒng)相關(guān)漏洞;
④ 采用各種木馬檢查工具檢查系統(tǒng)木馬情況;
⑤ 采用各種防外掛工具檢查系統(tǒng)各組程序的客外掛漏洞。
3.數(shù)據(jù)庫安全考慮問題：
① 系統(tǒng)數(shù)據(jù)是否機(jī)密(比如對(duì)銀行系統(tǒng)，這一點(diǎn)就特別重要，一般的網(wǎng)站就沒有太高要求);
② 系統(tǒng)數(shù)據(jù)的完整性;
③ 系統(tǒng)數(shù)據(jù)可管理性;
④ 系統(tǒng)數(shù)據(jù)的獨(dú)立性;
⑤ 系統(tǒng)數(shù)據(jù)可備份和恢復(fù)能力(數(shù)據(jù)備份是否完整，可否恢復(fù)，恢復(fù)是否可以完整)。
二、根據(jù)軟件安全測試需要考慮的問題
1. 保護(hù)了最薄弱的環(huán)節(jié)
攻擊者往往設(shè)法攻擊最易攻擊的環(huán)節(jié)，這對(duì)于您來說可能并不奇怪。即便他們?cè)谀到y(tǒng)各部分上花費(fèi)相同的精力，他們也更可能在系統(tǒng)最需要改進(jìn)的部分中發(fā)現(xiàn)問題。這一直覺是廣泛適用的，因此我們的安全性測試應(yīng)側(cè)重于測試最薄弱的部分。
如果執(zhí)行一個(gè)好的風(fēng)險(xiǎn)分析，進(jìn)行一次最薄弱環(huán)節(jié)的安全測試，標(biāo)識(shí)出您覺得是系統(tǒng)最薄弱的組件應(yīng)該非常容易，消除最嚴(yán)重的風(fēng)險(xiǎn)，是軟件安全測試的重要環(huán)節(jié)。
2. 是否具有縱深防御的能力
縱深防御背后的思想是：使用多重防御策略來測試軟件，以至少有一層防御將會(huì)阻止完全的黑客破壞。 “保護(hù)最薄弱環(huán)節(jié)”的原則適用于組件具有不重疊的安全性功能。當(dāng)涉及到冗余的安全性措施時(shí)，所提供的整體保護(hù)比任意單個(gè)組件提供的保護(hù)要強(qiáng)得多，縱深防御 能力的測試是軟件安全測試應(yīng)遵循的原則。
3. 是否有保護(hù)故障的措施
大量的例子出現(xiàn)在數(shù)字世界。經(jīng)常因?yàn)樾枰С植话踩呐f版軟件而出現(xiàn)問題。例如，比方說，該軟件的原始版本十分“天真”，完全沒有使用加密。現(xiàn)在該軟件想修正這一問題，但已建立了廣大的用戶基礎(chǔ)。此外，該軟件已部署了許多或許在長時(shí)間內(nèi)都不會(huì)升級(jí)的服務(wù)器。更新更聰明的客戶機(jī)和服務(wù)器需 要同未使用新協(xié)議更新的較舊的客戶機(jī)進(jìn)行互操作。該軟件希望強(qiáng)迫老用戶升級(jí)，沒有指望老用戶會(huì)占用戶基礎(chǔ)中如此大的一部分，以致于無論如何這將真的很麻 煩。怎么辦呢?讓客戶機(jī)和服務(wù)器檢查它從對(duì)方收到的第一條消息，然后從中確定發(fā)生了什么事情。如果我們?cè)谕欢闻f的軟件“交談”，那么我們就不執(zhí)行加密。

軟件的安全性應(yīng)從哪幾個(gè)方面去測試？

一、用戶認(rèn)證安全的測試：
1、明確區(qū)分系統(tǒng)中不同用戶權(quán)限
2、系統(tǒng)中會(huì)不會(huì)出現(xiàn)用戶沖突
3、系統(tǒng)會(huì)不會(huì)因用戶的權(quán)限的改變?cè)斐苫靵y
4、用戶登陸密碼是否是可見、可復(fù)制
5、是否可以通過絕對(duì)途徑登陸系統(tǒng)（拷貝用戶登陸后的鏈接直接進(jìn)入系統(tǒng)）
6、用戶退出系統(tǒng)后是否刪除了所有鑒權(quán)標(biāo)記，是否可以使用后退鍵而不通過輸入口令進(jìn)入系統(tǒng)
二、系統(tǒng)網(wǎng)絡(luò)安全的測試
1、測試采取的防護(hù)措施是否正確裝配好，有關(guān)系統(tǒng)的補(bǔ)丁是否打上
2、模擬非授權(quán)攻擊，看防護(hù)系統(tǒng)是否堅(jiān)固
3、采用成熟的網(wǎng)絡(luò)漏洞檢查工具檢查系統(tǒng)相關(guān)漏洞（即用最專業(yè)的黑客攻擊工具攻擊試一下，現(xiàn)在最常用的是 NBSI 系列和 IPhacker IP ）
4、采用各種木馬檢查工具檢查系統(tǒng)木馬情況
5、采用各種防外掛工具檢查系統(tǒng)各組程序的客外掛漏洞
三、 數(shù)據(jù)庫安全測試：
1、系統(tǒng)數(shù)據(jù)是否機(jī)密（比如對(duì)銀行系統(tǒng)，這一點(diǎn)就特別重要，一般的網(wǎng)站就沒有太高要求）
2、系統(tǒng)數(shù)據(jù)的完整性（我剛剛結(jié)束的企業(yè)實(shí)名核查服務(wù)系統(tǒng)中就曾存在數(shù)據(jù)的不完整，對(duì)于這個(gè)系統(tǒng)的功能實(shí)現(xiàn)有了障礙）
3、系統(tǒng)數(shù)據(jù)可管理性
4、系統(tǒng)數(shù)據(jù)的獨(dú)立性
5、系統(tǒng)數(shù)據(jù)可備份和恢復(fù)能力（數(shù)據(jù)備份是否完整，可否恢復(fù)，恢復(fù)是否可以完整）