软件安全-04-软件安全测试（28页）.pptxVIP

示范性软件学院软件技术系 郭建东 软件安全技术 软件安全 －UESTC - INTEL IA JOINT LAB 软件安全测试 - 安全测试的内容与方法 软件安全 －UESTC - INTEL IA JOINT LAB 主要内容： · 4.7 安全漏洞分级 · 4.8 安全的常规测试方法 · 4.9 穿透测试 软件安全 －UESTC - INTEL IA JOINT LAB 4.7 安全漏洞分级 · DREAD模型： 进行威胁程度级别分析的有效技 术 。Michael Howard 和David Leblanc在《编写 安全的代码》提出。 · DREAD： – 潜在的破坏（Damage potential） – 再现性（Reproducibility） – 可利用性（Exploitability） – 受影响用户（Affected users） – 可发现性（Discover ability） 软件安全 －UESTC - INTEL IA JOINT LAB 利用DREAD模型对威胁分级（ 1）： · 潜在的破坏 – 如果该漏洞被利用 ， 所产生的破坏程度 · 再现性 – 探测并利用该漏洞所需要的努力要多久 · 可利用性 – 是否需要身份鉴别？ a) 需要身份鉴别 b) 不需要身份鉴别 ， 但需要难以确定的知识 c) 不需要身份鉴别 ， 也不需要特殊的知识 软件安全 －UESTC - INTEL IA JOINT LAB 利用DREAD模型对威胁分级（2）： · 受影响的用户 – 漏洞利用的影响面有多大 a) 仅仅是特殊的配置 b) 普通情况 c) 默认用户或者大多数用户 · 可发现性 – 漏洞研究人员或黑客找出该漏洞的可能性 软件安全 －UESTC - INTEL IA JOINT LAB – 时间（Time） – 可靠性（Reliability ）/再现性( Reproducibility） – 访问（Access） – 定位（Positioning） TRAP模型 · 基于可利用性提出。 · TRAP包括因素： 软件安全 －UESTC - INTEL IA JOINT LAB 利用TRAP模型对威胁分析（ 1） · 时间： 某些漏洞可能需要长时间的探 测并利用 。如加密漏洞需要数千年的 时间计算才能利用 ， 表示该漏洞的风 险非常低。 · 可靠性/再现性： 漏洞的严重程度依赖 于该漏洞可被攻击者利用的可靠性或 再现性 。通常高级别漏洞的可靠性和 可再现性高。 软件安全 －UESTC - INTEL IA JOINT LAB 利用TRAP模型对威胁分析（2） · 访问： 利用漏洞通常可以为攻击者提 供更高的访问权。 · 定位： 利用一个漏洞 ， 攻击者必须能 够与存在该漏洞的应用程序交互 ， 并 能访问到含有该漏洞的代码。 软件安全 －UESTC - INTEL IA JOINT LAB 4.8 安全的常规测试方法 · 4.8. 1 基于风险的安全测试 · 4.8.2 白盒 、黑盒 、灰盒测试 软件安全 －UESTC - INTEL IA JOINT LAB 4.8. 1 基于风险的安全测试 · 安全测试的目标： 在给定的时间和资源 不变的情况下 ， 尽可能多地找出最为严 重的安全缺陷。 · 威胁建模 ＝风险建模 · 基于风险的测试是软件测试的常规方法 软件安全 －UESTC - INTEL IA JOINT LAB · Step1 信息搜集 · Step2 威胁（风险） 建模 · Step3 可用性分析 基于风险的测试的三个步骤： 软件安全 －UESTC - INTEL IA JOINT LAB Step1 信息搜集 · 信息搜集的目的： – 熟悉程序的设计 – 了解程序访问入口点位置 – 了解程序所涉及的信息资产 －需要保护 的信息 · 信息搜集的方法： – 程序设计文档的评审 – 与设计人员和架构师会谈 – 运行时分析 －使用调试和诊断程序 软件安全 －UESTC - INTEL IA JOINT LAB 与架构师会谈内容： · 了解系统组件框架 · 了解组件之间的主要数据流 · 了解来自系统进程空间之外的数据 流 －程序外的数据是非受信数据 ， 可能是攻击性输入 软件安全 －UESTC - INTEL IA JOINT LAB 可能的外部数据流： · 网络I/O · 远程过程调用（RPC） · 外部系统查询： 域名系统（DNS） 、数据 库查找 、轻量级目录访问协议（LDAP） · 文件I/O · 注册表 · 命名管道 ， 互斥 、共享内存 · WINDOWS 消息