軟件安全測(cè)試技術(shù)和工具的研究

張蕾

摘 要：軟件在給人類快速普及和帶來(lái)便利的同時(shí)，軟件安全漏洞的存在也會(huì)對(duì)公司和個(gè)人造成重大經(jīng)濟(jì)損失，甚至危害到人身安全。本文針對(duì)不同的測(cè)試對(duì)象、源代碼、移動(dòng)APP和web，分別介紹對(duì)應(yīng)的測(cè)試方法和工具。

關(guān)鍵詞：安全測(cè)試；源代碼；移動(dòng)APP安全；web安全；測(cè)試工具

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

0.引言

在軟件行業(yè)快速發(fā)展的同時(shí)，安全測(cè)試逐漸得到人們的重視。根據(jù)測(cè)試對(duì)象的不同，安全測(cè)試也需要采用不同的方法。本文重點(diǎn)介紹適用于源代碼、移動(dòng)APP和web的安全測(cè)試方法和工具。

1.源代碼安全測(cè)試

靜態(tài)分析技術(shù)在安全審計(jì)方面有著舉足輕重的地位，代碼級(jí)安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源從最底層免受各種類型的威脅、干擾和破壞。目前源代碼靜態(tài)掃描工具有Its4、Rats、Flawfinder、Splint、Cppcheck等，這里簡(jiǎn)要介紹下fortify工具。

Fortify SCA 是一個(gè)靜態(tài)的、白盒的軟件源代碼安全測(cè)試工具。它通過內(nèi)置的五大主要分析引擎：數(shù)據(jù)流、語(yǔ)義、結(jié)構(gòu)、控制流、配置流等對(duì)應(yīng)用軟件的源代碼進(jìn)行靜態(tài)的分析，分析的過程中與它特有的軟件安全漏洞規(guī)則集進(jìn)行全面地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來(lái)，并給予整理報(bào)告。

Fortify源代碼掃描結(jié)果如圖1所示。

2.移動(dòng)APP安全測(cè)試

隨著移動(dòng)應(yīng)用軟件的快速發(fā)展，惡意軟件和病毒等方面的安全事件也大幅增長(zhǎng)。針對(duì)移動(dòng)APP的安全測(cè)試包括：安裝包測(cè)試、敏感信息測(cè)試、軟鍵盤劫持、賬戶安全、數(shù)據(jù)通信安全、組件安全測(cè)試、服務(wù)器接口。目前流行的移動(dòng)APP安全測(cè)試小工具有dex2jar、jd_gui、drozer等。這里介紹一下移動(dòng)應(yīng)用風(fēng)險(xiǎn)評(píng)估系統(tǒng)MARS。

MARS具備“即插即用、隨時(shí)測(cè)試、自動(dòng)流程”的特色，支持現(xiàn)在移動(dòng)應(yīng)用的幾種形態(tài)：APP、微信公眾號(hào)、Web（H5）方式。通過專項(xiàng)測(cè)試平臺(tái)、android測(cè)試終端、ios測(cè)試終端，自集成無(wú)線網(wǎng)絡(luò)測(cè)試環(huán)境等設(shè)備的整合，可以實(shí)現(xiàn)一站式全功能覆蓋的移動(dòng)應(yīng)用安全性測(cè)試。MARS除了對(duì)客戶端、通信管道、后臺(tái)服務(wù)器端進(jìn)行全面的安全檢測(cè)，也可以對(duì)用戶的業(yè)務(wù)操作進(jìn)行檢測(cè)（短信炸彈、驗(yàn)證碼安全等），大幅度提高移動(dòng)應(yīng)用APP安全檢測(cè)能力。

MARS報(bào)告展示如圖2所示。

3.web安全測(cè)試

Web應(yīng)用安全漏洞分為服務(wù)器端漏洞和客戶端漏洞[4]。目前企業(yè)組織面臨的最嚴(yán)重的Web漏洞包括：注入、失效的身份認(rèn)證和會(huì)話管理、跨站腳本、敏感信息泄露等。Web安全漏洞掃描工具層出不窮，常見的有webinspect、skipfish、w3af、WVS、IBM AppScan等，AppScan工具最為流行。

AppScan是一個(gè)在所有級(jí)別應(yīng)用上提供全面糾正任務(wù)的工具，提供中文支持。AppScan掃描Web應(yīng)用的基礎(chǔ)架構(gòu)，進(jìn)行安全漏洞測(cè)試并提供可行的報(bào)告和建議。

AppScan掃描結(jié)果如圖3所示。

結(jié)語(yǔ)

本文針對(duì)源代碼、移動(dòng)APP和Web三個(gè)不同的測(cè)試對(duì)象，描述了不同的測(cè)試方法和適用工具，希望能夠?qū)V大從業(yè)者有所參考。

參考文獻(xiàn)

[1]王斌.基于Fortify SCA的隱通道分析技術(shù)的研究與實(shí)現(xiàn)[D]. 北京理工大學(xué)，2016.

[2]羅琴靈.基于靜態(tài)檢測(cè)的代碼審計(jì)技術(shù)研究[D].貴州大學(xué)，2015.

[3]邱鵬.移動(dòng)APP測(cè)試實(shí)戰(zhàn)[M].北京：機(jī)械工業(yè)出版社，2015.

[4]索亮.對(duì)主流掃描工具漏洞檢測(cè)能力的測(cè)試與分析[J].信息安全技術(shù)，2010（6）：120-128.

[5]張楠.Web應(yīng)用安全漏洞掃描技術(shù)研究[D].浙江大學(xué)，2015.