软件测试技术第6章 软件测试的高级专题.pptVIP

第六章 软件测试的高级专题 * 6.3.1 安全性测试的基本概念 1. 安全性的内涵 根据ISO9126的定义，安全性（Security）是指保护信息系统的硬件、软件及系统中存储的信息免受偷窃或损坏，同时也不会由于其提供的服务而导致破坏和误导。 本章侧重讨论信息的安全性，旨在排除系统可能存在的弱点、漏洞和脆弱性 第六章 软件测试的高级专题 * 2. 系统安全性的内涵 物理层的安全 网络层的安全 操作系统层的安全 应用层的安全 第三方软件产品的安全 安全性测试的范围 系统级别的安全性 应用程序级别的安全性 （重点） 用户权限 数据输入验证 敏感数据加密 数据存储安全性 用户口令 验证系统的日志文件是否得到保护 …… 第六章 软件测试的高级专题 * 3. 威胁模式分析（Threat Modeling） 威胁模式分析用于评估软件系统的安全问题 ，最早见诸于Microsoft《编写安全代码》 威胁模式分析是正式审查的一个变形的方式 ，目的是由评审小组查找产品特性设置方面可能会引起安全漏洞的地方 执行威胁模式分析并非软件测试员的责任。这个责任应该落到项目经理的任务清单上 ，但项目小组的每个成员都要参与 威胁模式分析的更详细信息，访问/library，搜索“threat modeling” 第六章 软件测试的高级专题 * 第六章 软件测试的高级专题 * 威胁模型分析过程的步骤 构建威胁模型分析小组 确认价值 创建一个体系结构总体图 分解应用程序 记录威胁 威胁等级评定——“DREAD公式” 潜在的损害 （损害多大） 可反复性 （不间断地利用漏洞的难度多大） 可利用性 （数据访问的难度多大） 受影响的用户 （多少用户受影响） 可发现性 （发现漏洞的可能性） 每类评估结果都打分，累加起来就可以评估每个威胁的安全等级 第六章 软件测试的高级专题 * 第六章 软件测试的高级专题 * 6.3.2 软件安全性测试的基本过程 1. 正向测试过程 （1）标识测试空间 标识出所有的可变数据，重点是对外部输入层进行标识。 需求分析、概要设计、详细设计、编码几个阶段中都要对测试空间进行标识。 在详细设计阶段，要把所有系统调用都标识出来，审查是否存在可能被利用的系统调用，特别是具有改变权限特征的系统调用应详查。 第六章 软件测试的高级专题 * （2）精确定义设计空间 根据需求定义设计空间，重点审查需求中对设计空间有没有明确的定义，涉及的数据是否都标识出合法取值范围。 该步骤中，最重要的是精确。 定义设计空间时，还要分析有组合关系的可变数据。要标识出哪些是合法的，哪些是非法的 （3）定义设计空间的转换规则 定义设计空间时，重点是定义测试空间到设计空间的转换规则。 测试中应检查转换规则是否能够拒绝非法输入，以发现是否有异常数据经过转换后进入了设计空间。 第六章 软件测试的高级专题 * （4）标识安全隐患 根据找出的测试空间、设计空间以及它们之间的转换规则，可以标识出哪些测试空间可能存在安全隐患，哪些转换规则可能存在安全隐患。 测试空间划分越复杂，或可变数据组合关系越多，则越不安全； 转换规则越复杂，则越不安全。 在标识出安全隐患后，对其危险程度进行评估，按照危险程度进行排序。 （5）设计测试用例 根据标识出的安全隐患设计测试用例。 在软件开发进入测试阶段后，根据测试用例进行安全性测试。 第六章 软件测试的高级专题 * 2. 反向测试过程 （1）建立缺陷威胁模型 建立缺陷威胁模型主要从已知安全漏洞入手，检查软件是否存在已知漏洞。先确定软件牵涉的领域，然后根据各领域已有的攻击手段来建模。 （2）标识安全隐患 分析威胁模型中哪些缺陷软件可能发生，将这些缺陷标识为安全隐患，对其危险程度进行评估，按照危险程度进行排序。 （3）已知漏洞扫描 如果某个领域中有成熟的扫描工具，则可以直接使用工具进行扫描，然后将发现的可疑问题纳入管理。 （4）设计测试用例 根据标识出的安全隐患设计测试用例。在软件开发进入测试阶段后，根据测试用例进行安全性测试。 第六章 软件测试的高级专题 * 6.3.3 缓存区溢出缺陷相关的静态检查 1. 缓存区溢出的原理 （1）程序如何运行 在执行程序时，操作系统创建一个新的进程及其上下文（contex），包括PC，寄存器组当前值，以及主存内容，然后将控制权传递给这个新建的进程 处理器对存储在RAM中的值进行操作，告知CPU如何操作的机器码指令也存储在RAM中。 第六章 软件测试的高级专题 * CPU从RAM中取出一条指令，执行后继续从RAM中取并执行下一条指令，直到程序执行完成。 CPU中有少量的快速临时存储位置，称为“寄存器”。CPU从RAM中取得指令及相关的值，将其存储在寄存器中，在这些寄存器中操作，并将结果存储到内存中 X86体系架构