一種軟件的自動(dòng)化測(cè)試方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)控制領(lǐng)域，尤其涉及一種軟件的自動(dòng)化測(cè)試方法。
【背景技術(shù)】
[0002]軟件系統(tǒng)的安全性是信息安全的一個(gè)重要組成部分，軟件安全性是軟件系統(tǒng)除了功能以外的又一需求，一個(gè)安全的軟件界面需要增加許多安全措施，如口令認(rèn)證、超時(shí)認(rèn)證等，這樣附加的操作界面影響了軟件的易用性，一個(gè)安全的軟件需要對(duì)數(shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)傳輸過程中或達(dá)到目的地后不被非授權(quán)的人查看修改等，對(duì)軟件安全的測(cè)試就是采用各種方法來驗(yàn)證或發(fā)絲按系統(tǒng)方面的問題，如對(duì)于軟件需求說明書上既定的有關(guān)安全的功能要求，進(jìn)行驗(yàn)證測(cè)試，努力地發(fā)現(xiàn)沒有在軟件需求說明書上表明的可能影響系統(tǒng)運(yùn)行的隱形需求，現(xiàn)有技術(shù)存在非法用戶未經(jīng)授權(quán)而獲得訪問系統(tǒng)的權(quán)限或者擴(kuò)大訪問權(quán)限、利用系統(tǒng)漏洞和常用的攻擊手段對(duì)系統(tǒng)攻擊、不能有效地管理和診斷并檢查網(wǎng)絡(luò)的安全威脅的問題。

【發(fā)明內(nèi)容】

[0003]本發(fā)明提供一種軟件的自動(dòng)化測(cè)試方法，以解決上述【背景技術(shù)】中提出非法用戶未經(jīng)授權(quán)而獲得訪問系統(tǒng)的權(quán)限或者擴(kuò)大訪問權(quán)限、利用系統(tǒng)漏洞和常用的攻擊手段對(duì)系統(tǒng)攻擊、不能有效地管理和診斷并檢查網(wǎng)絡(luò)的安全威脅的問題。
[0004]本發(fā)明所解決的技術(shù)問題采用以下技術(shù)方案來實(shí)現(xiàn):一種軟件的自動(dòng)化測(cè)試方法，所述方法包括:
[0005]a、功能驗(yàn)證步驟；
[0006]b、漏洞掃描步驟:掃描系統(tǒng)漏洞并補(bǔ)救系統(tǒng)漏洞或預(yù)先設(shè)置防護(hù)措施；
[0007]C、模擬攻擊步驟:攻擊系統(tǒng)漏洞并根據(jù)攻擊結(jié)果評(píng)估安全性能；
[0008]d、偵聽測(cè)試步驟:獲取并緩存網(wǎng)絡(luò)數(shù)據(jù)包并對(duì)所述數(shù)據(jù)包進(jìn)行分解或分析；
[0009]進(jìn)一步，所述功能驗(yàn)證步驟包括黑盒測(cè)試或白盒測(cè)試或灰盒測(cè)試；
[0010]進(jìn)一步，在漏洞掃描步驟中所述掃描系統(tǒng)漏洞并補(bǔ)救系統(tǒng)漏洞或預(yù)先設(shè)置防護(hù)措施包括:
[0011 ]當(dāng)拒絕服務(wù)漏洞發(fā)生時(shí)，規(guī)避拒絕服務(wù)漏洞；
[0012]當(dāng)本地用戶擴(kuò)權(quán)漏洞發(fā)生時(shí)，設(shè)置安全性能高的登陸工具；
[0013]當(dāng)遠(yuǎn)程用戶擴(kuò)權(quán)漏洞發(fā)生時(shí)，查找CGI或其他腳本漏洞并刪除或規(guī)避所述的CGI或其他腳本漏洞，而且禁止S位權(quán)限標(biāo)志。
[0014]進(jìn)一步，在模擬攻擊步驟中所述攻擊系統(tǒng)漏洞包括:
[0015]服務(wù)拒絕型攻擊:包括Smurf攻擊；
[0016]漏洞木馬型攻擊:包括口令猜測(cè)、特洛伊木馬、緩沖區(qū)溢出；
[0017]偽裝欺騙型攻擊:DNS高速緩存污染、ARP欺騙、IP欺騙；
[0018]進(jìn)一步，在模擬攻擊步驟中所述評(píng)估安全性能包括:
[0019]當(dāng)DNS高速緩存污染攻擊成功時(shí)，采取在防火墻上過濾入站的DNS更新或取消外部DNS服務(wù)器更改內(nèi)部服務(wù)器對(duì)內(nèi)部機(jī)器的認(rèn)識(shí)；
[0020]當(dāng)ARP欺騙攻擊成功時(shí)，采取的方法包括:
[0021 ] 將網(wǎng)絡(luò)安全信任關(guān)系建立在IP+MAC基礎(chǔ)上；
[0022]設(shè)置靜態(tài)的MAC/IP對(duì)照表；
[0023]當(dāng)系統(tǒng)不使用ARP時(shí)，禁止ARP服務(wù)并將ARP作為永久條目保留在對(duì)應(yīng)表中；
[0024]使用防火墻監(jiān)控網(wǎng)絡(luò)；
[0025]當(dāng)IP欺騙攻擊成功時(shí)，采取的一種方法包括:
[0026]屏蔽r*遠(yuǎn)程調(diào)用命令的使用；
[0027]刪除.rhosts文件；
[0028]清空/etc/hosts.equiv 文件；
[0029]或采取另一種方法:
[0030]采用包過濾方式對(duì)網(wǎng)內(nèi)和網(wǎng)外分別采用不同的信任關(guān)系；
[0031]進(jìn)一步，在偵聽測(cè)試步驟中獲取并緩存網(wǎng)絡(luò)數(shù)據(jù)包的位置在網(wǎng)關(guān)或路由器或交換機(jī)或防火墻處。
[0032]本發(fā)明的有益效果為:
[0033]1、本專利采用功能驗(yàn)證步驟，功能驗(yàn)證步驟包括黑盒測(cè)試或白盒測(cè)試或灰盒測(cè)試的技術(shù)手段，由于功能驗(yàn)證是對(duì)軟件需求中確定的有關(guān)安全模塊的功能進(jìn)行測(cè)試驗(yàn)證，作為網(wǎng)絡(luò)信息系統(tǒng)自身安全建設(shè)的需要，設(shè)計(jì)者往往會(huì)在軟件設(shè)計(jì)和開發(fā)過程中增加一些必要的安全防護(hù)措施，如權(quán)限管理模塊，數(shù)據(jù)加密模塊、傳輸加密模塊、數(shù)據(jù)備份和恢復(fù)模塊等，對(duì)安全的功能驗(yàn)證可以采用與一般的程序功能測(cè)試相似的方法來完成來進(jìn)行測(cè)試，因此具有檢測(cè)系統(tǒng)功能穩(wěn)定的有益技術(shù)效果。
[0034]2、本專利由于采用了漏洞掃描步驟:掃描系統(tǒng)漏洞并補(bǔ)救系統(tǒng)漏洞或預(yù)先設(shè)置防護(hù)措施，在漏洞掃描步驟中所述掃描系統(tǒng)漏洞并補(bǔ)救系統(tǒng)漏洞或預(yù)先設(shè)置防護(hù)措施包括當(dāng)拒絕服務(wù)漏洞發(fā)生時(shí)，規(guī)避拒絕服務(wù)漏洞，當(dāng)本地用戶擴(kuò)權(quán)漏洞發(fā)生時(shí)，設(shè)置安全性能高的登陸工具，當(dāng)遠(yuǎn)程用戶擴(kuò)權(quán)漏洞發(fā)生時(shí)，查找CGI或其他腳本漏洞并刪除或規(guī)避所述的CGI或其他腳本漏洞，而且禁止S位權(quán)限標(biāo)志的技術(shù)手段，由于漏洞一般是指軟件、硬件或策略上的缺陷，在計(jì)算機(jī)軟硬件系統(tǒng)中，沒有絕對(duì)安全的組件，各種操作系統(tǒng)存在安全樓送，需要不停地打補(bǔ)丁和裝PATCH，各種數(shù)據(jù)庫(kù)管理系統(tǒng)也醋在安全漏洞，本發(fā)明可以有針對(duì)性地對(duì)信息系統(tǒng)和應(yīng)用軟件的有關(guān)漏洞進(jìn)行掃描，在對(duì)發(fā)現(xiàn)漏洞進(jìn)行有效的防范和補(bǔ)救措施，也可以對(duì)采取保護(hù)措施防止非法這利用已知的漏洞進(jìn)行攻擊，因此，解決了非法用戶未經(jīng)授權(quán)而獲得訪問系統(tǒng)權(quán)限或者擴(kuò)大訪問權(quán)限的問題。
[0035]3、本專利采用模擬攻擊步驟:攻擊系統(tǒng)漏洞并根據(jù)攻擊結(jié)果評(píng)估安全性能，在漏洞掃描步驟中所述掃描系統(tǒng)漏洞并補(bǔ)救系統(tǒng)漏洞或預(yù)先設(shè)置防護(hù)措施包括當(dāng)拒絕服務(wù)漏洞發(fā)生時(shí)，規(guī)避拒絕服務(wù)漏洞，當(dāng)本地用戶擴(kuò)權(quán)漏洞發(fā)生時(shí)，設(shè)置安全性能高的登陸工具，當(dāng)遠(yuǎn)程用戶擴(kuò)權(quán)漏洞發(fā)生時(shí)，查找CGI或其他腳本漏洞并刪除或規(guī)避所述的CGI或其他腳本漏洞，而且禁止S位權(quán)限標(biāo)志。在模擬攻擊步驟中所述攻擊系統(tǒng)漏洞包括服務(wù)拒絕型攻擊:包括Smurf攻擊;漏洞木馬型攻擊:包括口令猜測(cè)、特洛伊木馬、緩沖區(qū)溢出；偽裝欺騙型攻擊:DNS高速緩存污染、ARP欺騙、IP欺騙;在模擬攻擊步驟中所述評(píng)估安全性能包括:當(dāng)DNS高速緩存污染攻擊成功時(shí)，采取在防火墻上過濾入站的DNS更新或取消外部DNS服務(wù)器更改內(nèi)部服務(wù)器對(duì)內(nèi)部機(jī)器的認(rèn)識(shí)；當(dāng)ARP欺騙攻擊成功時(shí)，采取的方法包括:將網(wǎng)絡(luò)安全信任關(guān)系建立在IP+MAC基礎(chǔ)上;設(shè)置靜態(tài)的MAC/IP對(duì)照表；當(dāng)系統(tǒng)不使用ARP時(shí)，禁止ARP服務(wù)并將ARP作為永久條目保留在對(duì)應(yīng)表中；使用防火墻監(jiān)控網(wǎng)絡(luò)；當(dāng)IP欺騙攻擊成功時(shí)，采取的一種方法包括:屏蔽:r*遠(yuǎn)程調(diào)用命令的使用，刪除.rhosts文件，清空/etc/hosts.equiv文件或采取另一種方法:采用包過濾方式對(duì)網(wǎng)內(nèi)和網(wǎng)外分別采用不同的信任關(guān)系的技術(shù)手段，由于模擬攻擊就是假設(shè)自己是一個(gè)非法入侵的攻擊者，如黑客，利用目前存在的系統(tǒng)漏洞和常用的攻擊手段，對(duì)提交評(píng)測(cè)的系統(tǒng)的開發(fā)環(huán)境或使用環(huán)境里進(jìn)行攻擊，以發(fā)現(xiàn)安全問題。
[0036]4、本專利采用偵聽測(cè)試步驟:獲取并緩存網(wǎng)絡(luò)數(shù)據(jù)包并對(duì)所述數(shù)據(jù)包進(jìn)行分解或分析，在偵聽測(cè)試步驟中獲取并緩存網(wǎng)絡(luò)數(shù)據(jù)包的位置在網(wǎng)關(guān)或路由器或交換機(jī)或防火墻處的技術(shù)手段，由于監(jiān)聽技術(shù)，也稱網(wǎng)絡(luò)監(jiān)聽，可以獲取網(wǎng)絡(luò)上傳輸?shù)男畔?，而這些信息并不是發(fā)給自己的，網(wǎng)絡(luò)偵聽技術(shù)是一個(gè)常用的手段，可以有效地管理網(wǎng)絡(luò)、診斷網(wǎng)絡(luò)問題，檢車網(wǎng)絡(luò)的安全威脅，目前網(wǎng)絡(luò)監(jiān)聽有許多工具，有硬件的、軟件的評(píng)測(cè)認(rèn)為為了測(cè)評(píng)信息系統(tǒng)的安全環(huán)境，熟悉網(wǎng)絡(luò)偵聽技術(shù)，使用偵聽技術(shù)是一種有效地安全測(cè)試方法，目前最常用的以太網(wǎng)絡(luò)是一個(gè)廣播型的網(wǎng)絡(luò)，該網(wǎng)中任一一臺(tái)計(jì)算機(jī)都可以真聽到所有的這個(gè)網(wǎng)段的傳輸包，只要使用工具或自編的程序?qū)Π蓚陕牭赖聰?shù)據(jù)包復(fù)制存儲(chǔ)下來，就可以利用這些信息來分析網(wǎng)絡(luò)情況，一般偵聽最好放在網(wǎng)關(guān)、路由器、交換機(jī)、防火前等類的設(shè)備處，以為這里要?jiǎng)㈧o相當(dāng)多的信息包，效果較好，作為安全監(jiān)測(cè)的一個(gè)手段，偵聽技術(shù)使得使用了偵聽程序的及其響應(yīng)速度變慢，以為偵聽程序運(yùn)行時(shí)，需要消耗大量的CPU處理時(shí)間和內(nèi)存空間，一般偵聽程序不會(huì)馬上將偵聽到的包進(jìn)行分解分析，而是不停地收藏存儲(chǔ)，待以后再分析，防止因?yàn)槊Σ贿^來二漏掉的一些包，網(wǎng)絡(luò)中偵聽到的信息量是海量、復(fù)雜、無(wú)分類的，有時(shí)將同一個(gè)TCP會(huì)話的包整理到一起都是很難做到，那么用戶的詳細(xì)信息整理出來的工程也十分繁雜，總體上使用偵聽技術(shù)能有效地管理和診斷并檢查網(wǎng)絡(luò)的安全威脅的問題。
【附圖說明】
[0037]圖1是本發(fā)明一種軟件的自動(dòng)化測(cè)試方法的流程圖。
[0038]圖中:1-功能驗(yàn)證步驟，2-漏洞掃描步驟，3-模擬攻擊步驟，4-偵聽測(cè)試步驟。
【具體實(shí)施方式】
[0039]以下結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步描述:
[0040]實(shí)施