安全测试心得体会
软件测试班11级
111307483
张林香
摘要:安全测试是在产品的生命周期中,产品开发基本完成到发布的时候,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程,主要是为了提高产品的安全质量,尽量在发布前找到安全问题并给与修补,以降低开发成本,也避免在上线后带来了缺陷。 关键字:安全测试方法 安全测试工具 WEB应用 测试策略 安全测试方法: 1.功能验证
功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理,加密系统,认证系统等进行测试,主要验证上述功能是否有效。 2.漏洞扫描
安全漏洞扫描主要是借助于特定的漏洞扫描器完成的。通过使 用漏洞扫描器,系统管理员能够发现系统存在的安全漏洞,从
而在系统安全中及时修补漏洞的措施。一般漏洞扫描分为两种类型:主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统漏洞的程序。 3.模拟攻击 对于安全测试来说,模拟攻击测试是一组特殊的极端的测试方法,我们以模拟攻击来验证软件系统的安全防护能力。 测试策略:
软件安全性测试包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。
用户认证安全的测试要考虑问题: 1.明确区分系统中不同用户权限 2.
系统中会不会出现用户冲突
3.
系统会不会因用户的权限的改变造成混乱 4.
用户登陆密码是否是可见、可复制
5.是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统)
6.
用户推出系统后是否删除了所有鉴权标记,是否可以使用后退键而不通过输入口令进入系统 系统网络安全的测试要考虑问题
1.
测试采取的防护措施是否正确装配好,有关系统的补丁是否打上
2.
模拟非授权攻击,看防护系统是否坚固
3.
采用成熟的网络漏洞检查工具检查系统相关漏洞(即用最专业的黑客攻击工具攻击试一下,现在最常用的是 NBSI系列和 IPhacker IP )
4.
采用各种木马检查工具检查系统木马情况 5.
采用各种防外挂工具检查系统各组程序的客外挂漏洞 数据库安全考虑问题:
1.
系统数据是否机密(比如对银行系统,这一点就特别重要,一般的网站就没有太高要求)
2.
系统数据的完整性(我刚刚结束的企业实名核查服务系统中就曾存在数据的不完整,对于这个系统的功能实现有了障碍) 3.
系统数据可管理性 4.
系统数据的独立性
5.
系统数据可备份和恢复能力(数据备份是否完整,可否恢复,恢复是否可以完整) 安全测试工具:
WEB性能测试工具主要分为三种,一种是测试页面资源加载速度的,一种是测试页面加载完毕后页面呈现、JS操作速度的,还有一种是总体上对页面进行评价分析。 Firebug:
Firebug 是firefox中最为经典的开发工具,可以监控请求头,响应头,显示资源加载瀑布图。 HttpWatch :
httpwatch 功能类似firebug,可以监控请求头,响应头,显示资源加载瀑布图。但是httpwatch还能显示GZIP压缩信息,DNS查询,TCP链接信息,个人在监控http请求比较喜欢使用httpwatch,
httpwatch包含IE和firefox插件。不过httpwatch专业版本是收费的,免费版本有些功能限制。 DynaTrace’s Ajax Edition:
dynaTrace 是本人常使用的1个免费工具,该工具不但可以检测资源加载瀑布图,而且还能监控页面呈现时间,CPU花销,JS分析和执行时间,CSS解析时间的等。 Speed Tracer:
speed trace 是google chrome的1个插件,speed trace的优势点是用于监控JS的解析执行时间,还可以监控页面的重绘、回流,这个还是很强的(dynaTrace也能有这个功能)。 Page Speed : Page speed 是基于firebug的1个工具,主要可以对页面进行评分,总分100分,而且会显示对各项的改进意见,Page Speed也能检测到JS的解析时间。
yslow : yslow跟pge speed一样是基于 firefox\\firebug的插件,功能与page speed类似,对各种影响网站性能的因素进行评分。 webpagetest :
webpagetest 是1个在线进行性能测试的网站,在该网站输入你的url,就会生成1个url加载的时间瀑布图,对所有加载的资源(c,js,image等等)列出优化的清单,也是非常好用的工具。
安全性测试应包括下面的工作: a.全面检验软件在软件需求规格说明中规定的防止危险状态措施的有效性和在每一个危险状态下的反应;
b.对软件设计中用于提高安全性的结构、算法、容错、冗余、中断处理等方案,进行针对性测试;
c.在异常条件下测试软件,以表明不会因可能的单个或多个输入错误而导致不安全状态。
d.用错误的安全性关键操作进行测试,以验证系统对这些操作错误的反应;
e.对安全性关键的软件单元和软件部件,要单独进行加强的测试,以确认其满足安全性需求。
WEB应用:
web服务的质量严重影响数据传输的安全性。所以针对该问题,我们着重讲解怎样测试web服务的安全性。下面是我们对安全性测试的整理。
一般情况下我们测试系统是否安全,主要是根据他的抗打击能力。所以现在介绍的测试方法都是针对他的安全区进行攻击,以检测是否安全。
鉴于web服务是一个通过URL识别的软件应用程序,它的界面使用XML文档定义描述和发现,使用基于Internet协议上的消息传递方式与其他应用程序直接交互。所以在实际应用中很大程度上对web服务的质量有很高的要求。一旦web服务存在质量问题,将可能给使用者造成不可估量的损失与危害,因此需要对web服务的质量进行评估。
第一种:web服务接口探查 (1) WSDL扫描
主要是扫描WSDL文件,列出一些克可调用的方法,然后根据已知的方法推测出未列出的方法。 (2) 参数篡改
根据服务调用可接受的参数类型,故意发送非期望的数据类型尝试攻击服务。
第二种:攻击XML解析器
(1)递归负载:
XML消息可以进行递归实体扩展,恶意构造包含大量递归嵌套元素的消息,以消耗服务器资源或使解析器崩溃造成拒绝攻击服务。
(2)特大负载
XML解析器对于非常大的XML消息常常会处理出错。这种测试就是有意构造特大的SOAP消息,试图使解析器耗尽内存及CPU资源,造成拒绝服务。 (3) 强制解析
构造畸形的XML消息,试图使目标服务降级或不可用。例如,可以构造包含非常长的元素名称、非常多的标记或标记不匹配的消息。
第三种:基于内容的攻击 (1) 恶意SOAP附件
Web服务常常对SOAP附件缺乏验证, 造成恶意代码嵌入附件中传播。例如许多病毒蠕虫等就是通过SOAP附件传播。这种测试就是构造这种恶意的SOAP消息发送到web服务上。 (2) 注入式攻击
注入式攻击包括SQL注入、XPATH注入、LDAP注入、XML注入、命令注入等。SOAP消息携带了服务调用需要的参数,这些参数可能执行SQL查询或XPATH查询语句的一部分。恶意构造的用户输入可能绕过数据库认证儿执行未授权的查询活着恶意篡改数据库、执行系统命令等。 (3) 跨站脚本
跨站脚本在web应用中常出现的漏洞。跨站脚本的漏洞常出现在CDATA中,因为这部分内容不被解析。 第四种:外部引用攻击 (1) 外部实体攻击
XML消息可以引用外部实体,但是若web服务对外部实体引用缺乏验证,可利用恶意外部实体嵌入恶意数据或系统命令攻击Web服务。 (2) 模式中毒 模式中毒是通过操纵或修改XML模式文件,改变web服务所接受消息的格式和语义,是wen服务接受不期望的数据类型。 (3) 路由劫持
路由劫持攻击是在SOAP头部修改或添加恶意路由目标,重定向SOAP消息到恶意接受者,然后接受者去除额外路由指令并转发SOAP消息,合法接受者无法察觉消息被篡改,造成敏感信息泄露。(网银等尤其注意) (4) 不适当错误处理
Web服务往往在返回错误消息的时候提供过于详细的信息,而这有助于攻击者发现应用程序结构等敏感信息。因此执行这类测试局势强制web服务返回错误消息,观察错误消息的内容,分析是否寻在不适当的错误处理。 应用程序的安全性:
包括对数据或业务功能的访问,在预期的安全性情况下,操作者只能访问应用程序的特定功能、有限的数据。其测试是核实操作者只能访问其所属用户类型已被授权访问的那些功能或数据。测试时,确定有不同权限的用户类型,创建各用户类型并用各用户类型所特有的事务来核实其权限,最后修改用户类型并为相同的用户重新运行测试。 应用程序的安全性问题: 功能验证
1.有效的密码是否接受,无效的密码是否拒绝。 2.系统对于无效用户或密码登陆是否有提示。 3.用户是否会自动超时退出,超时的时间是否合理。 4.各级用户权限划分是否合理。 模拟攻击
1.系统是否允许极端或不正常的登陆方式访问。(如
不通过登入页面,直接输入URL,看其是否能够
进入)
数据库安全(sql server)
1、关闭服务器端的tcp/ip协议服务。
2、数据库用户登录方式选择sql server身份认证。
3、设置用户访问指定的数据库。
4、设置用户对数据库中的对象有指定的操作权限。
5、查看数据是否有定期自动备份的操作。
6、日志文件和数据文件存放的位置 总结:
安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程,提高了产品的安全质量 。在以后的工作中是必不可少的,所以要尽量多运用,尽可能的熟练掌握。
