关于安全测试的 10 个重要技巧13916.docx

《关于安全测试的 10 个重要技巧13916.docx》由会员分享，可在线阅读，更多相关《关于安全测试的 10 个重要技巧13916.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、关于安全全测试的的 100 个重重要技巧巧2 简介本文提供供关于使使用安全全的方式式测试 Miccrossoftt Wiindoows 家族操操作系统统应用程程序的信信息。这这些主题题分为 10 个技巧巧，任何何开发人人员或测测试人员员都可以以在测试试应用程程序或硬硬件设备备驱动程程序时应应用它们们。要访问本本文中提提及的工工具和资资源，请请参见本本文末尾尾的“资资源”。 返回页首首2 1. 不不要以管管理员身身份运行行测试。开发人员员和测试试人员经经常以本本地管理理员身份份进行操操作，因因为这是是最不会会引起系系统拒绝绝执行的的方法。这这种行为为会给人人一种虚虚假的稳稳定感觉觉，因为为管理员

2、员实际上上可以在在系统上上进行任任何操作作，所以以大部分分情况都都很正常常。一旦旦当前用用户不是是管理员员，操作作系统安安全功能能就开始始生效了了，这时时事情就就可能就就不会那那么顺利利。幸运运的是，有有一个容容易的解解决方法法：除非非完全必必要，不不要以管管理员身身份运行行任何测测试。 使用 RRUNAAS 命命令Micrrosooft 为最近近的 WWinddowss 版本本添加了了一项出出色的功功能，允允许当前前登录的的用户以以不同的的帐户运运行另一一个程序序。从 Winndowws 资资源管理理器界面面或从命命令行使使用 RRUNAAS 命命令能够够快速简简单地指指定非管管理员帐帐户。

3、 使用辅助助本地计计算机或或域帐户户在本地计计算机上上创建一一个只具具有本地地用户权权限的用用户。这这样，运运行测试试的人员员可以很很快看到到是否有有功能由由于为文文件系统统或网络络访问假假设了某某种权限限级别而而无法工工作。安安装程序序之后，在在运行测测试之前前注销并并以本地地用户身身份重新新登录。如果需要要网络权权限，那那么请在在测试系系统上使使用只具具有用户户特权的的第二个个域帐户户。这样样，网络络权限就就不会影影响到测测试，而而管理员员权限也也不会引引起虚假假的安全全感觉。 一些例外外下面是一一些例外外，这些些例外需需要管理理员访问问权限可可以接受受：设置和安安装需要要能够以以一种稳稳

4、固的方方式更改改系统状状态。维护和配配置工具具可能必必需管理理员权限限。在这些情情况下，最最好的编编程实践践是应用用程序检检查其启启动时可可用的权权限，然然后如果果需要管管理员权权限才能能使用所所有功能能，则对对用户发发出警告告。 返回页首首2 2. 在在安全的的文件系系统 (NTFFS) 上进行行测试如果文件件系统不不安全，以以管理员员身份运运行测试试毫无益益处。FFAT112、FFAT116 和和 FAAT322 只具具有基本本的文件件权限，但但是 NNTFSS 为测测试所有有类型的的权限场场景提供供了完整整而牢固固的基础础。 使用 NNTFSS 从一开始始就使用用 NTTFS 系统驱驱动

5、器安安装所有有测试机机器。这这样将会会为操作作系统配配置基本本的默认认权限。在在 Wiindoows XP 和更高高版本中中，运行行 COONVEERT 命令会会自动将将安装默默认权限限应用于于系统卷卷。并且会考考虑为用用户打开开磁盘配配额。 首先在 NTFFS 上上测试，根根据需要要在其它它文件系系统上测测试因为 NNTFSS 是一一个安全全的文件件系统，所所以，如如果测试试的软件件能在 NTFFS 上上正常运运行，那那么它也也可能在在使用其其它不安安全的文文件系统统时正常常运行。在在受限环环境中运运行良好好的软件件在不受受限环境境中通常常也会运运行良好好。 注意文件件系统之之间的区区别除了

6、文件件系统权权限之外外，文件件系统之之间还有有一些其其它区别别需要注注意，例例如最大大文件、群群集和分分区大小小。这些些是测试试边界情情况的主主要区域域。 从受限环环境开始始，根据据需要增增加权限限如果当前前用户无无法访问问特定的的文件夹夹，软件件还能够够正常运运行吗？特定文文件操作作需要的的最小权权限是什什么？程程序能否否将文件件保存到到一个“下下拉框”文文件夹？首先在文文件夹或或文件共共享上使使用受限限的权限限，然后后在测试试过程中中逐步添添加特权权。 返回页首首2 3. 不不要改变变 HKKLM 或 %PROOGRAAMFIILESS% 中中的任何何内容 非常多多多的程序序都假设设可以不

7、不受限制制地访问问注册表表的 HHKEYY_LOOCALL_MAACHIINE 节和系系统驱动动器上的的 %PPROGGRAMMFILLES% 文件件夹。对对于普通通用户，这这两项都都是只读读的。不不要更改改它们的的任何内内容，除除了在安安装的时时候。 “徽标一一致性”要要求针对应用用程序徽徽标的 Deesiggnedd foor WWinddowss XPP 进进行设计计的应用用程序不不应该尝尝试写入入 HKKLM 或 %PROOGRAAMFIILESS%。请请参见 Deesiggnedd foor WWinddowss XPP 应应用程序序规范的的第 33.0 节。 以用户为为基础存存储数

8、据据假设用户户可以访访问 %USEERPRROFIILE% 文件件夹，这这是安全全合理的的。为临临时数据据文件使使用 %TEMMP% 文件夹夹。使用用 %AAPPDDATAA% 来来以每个个用户为为基础存存储应用用程序特特定数据据。考虑虑将数据据存储在在用户的的“我的的文档”文文件夹下下。对于于注册表表设置，请请使用 HKEEY_CCURRRENTT_USSER。 返回页首首2 4. 不不要以明明文形式式存储或或发送秘秘密信息息非常多的的应用程程序都使使用简单单的混淆淆来隐藏藏显而易易见的信信息。这这可能防防止了偶偶尔的窥窥探，但但是它不不能够提提供任何何有意义义的保护护。 使用 SSystt

9、em.Seccuriity.Cryyptoograaphyy Micrrosooft .NEET 框框架包含含一个完完整的类类库，提提供了用用于哈希希、加密密、解密密、签名名等密码码学函数数。 不要存储储秘密，而而是存储储哈希值值如果必须须存储一一些敏感感内容而而不需要要解密，请请不要存存储秘密密内容，而而应该存存储私密密内容的的单向哈哈希值。然然后将计计算出来来的哈希希值与秘秘密内容容的哈希希值相比比较。 “加点盐盐”计算或存存储哈希希值时，添添加一个个唯一的的随机值值（也就就是一点点“盐”），从从而使相相同数据据的哈希希值对于于每个用用户或机机器都是是唯一的的。 了解信任任边界程序可以以在

10、哪些些地方不不再信任任小心传传输的数数据？一一个定义义良好的的信任边边界非常常必要。法律因素素测试时应应该考虑虑一些法法律要求求，例如如 19996 年通过过的健康康保险流流通与责责任法案案 (HHIPAAA)、计计算机欺欺诈和滥滥用法案案 (CCFAAA) 以以及加利利福尼亚亚 (CCA) SB113866。 返回页首首2 5. 获获取足够够的功能能文档有时在开开发周期期的最后后时刻才才保存文文档，但但是文档档是必需需的，而而且需要要谨慎处处理。请请注意，这这项提示示的主题题不是关关于完美美，而是是项目组组应该拥拥有关于于每个特特性的足足够的文文档。没没有这类类信息会会加大将将来诊断断潜在的

11、的安全问问题的难难度。 了解 55 个 W每项功能能都需要要记录 5 个个方面，简简称为：谁 (whoo)、什什么 (whaat)、地地点 (wheere)、时间间 (wwhenn) 和和原因 (whhy)。 列出文件件该功能使使用哪些些源文件件？该功功能产生生了哪些些临时文文件？该该功能允允许用户户打开或或保存哪哪些数据据文件类类型？一一定不要要假设数数据文件件会在执执行会话话中保持持不变。任任何数据据文件都都可能在在没有使使用应用用程序打打开的情情况下被被恶意用用户更改改或操作作。测试试文件打打开代码码以进行行健壮的的错误处处理。一一定不要要在代码码中或测测试期间间假设一一个特定定的文件件

12、名以及及类似内内容（除除非您完完全确信信文件名名不会被被恶意用用户更改改）。 列出注册册表条目目该功能需需要读取取哪些注注册表条条目？注注册表条条目中存存储了哪哪些数据据格式？该功能能需要将将数据写写到注册册表中吗吗？ 列出数据据格式和和类型该功能以以 XMML 或或其它格格式存储储或传输输数据吗吗？使用用什么方方案？方方案（或或相关格格式）中中字段的的有效范范围是什什么？程程序是否否以专用用的二进进制格式式存储数数据？如如果数据据被更改改会发生生什么情情况？ 列出错误误消息该功能是是否会在在某些情情景下失失败？错错误消息息提供的的信息是是否太多多？例如如，最好好提示用用户名和和密码的的某种组

13、组合错误误（而不不指定究究竟是用用户名错错误还是是密码错错误），而而不是告告诉用户户密码错错误。 返回页首首2 6. 限限制恶意意数据使用提示示 5 的文档档，分析析每个数数据字段段的边界界条件，然然后设计计测试来来检查每每个字段段的有效效性。 检查所有有数值范范围字段是数数值的吗吗？字段段是整数数吗？允允许负数数吗？最最大值是是多少？最小值值是多少少？ 检查所有有缓冲区区大小如果字段段大小是是 2555 个个字符，那那么当输输入字符符串是 2566 个字字符时会会发生什什么？当当输入字字符串是是 2556 个个 Unnicoode 字符时时会发生生什么？ 用户数据据只有在在经过证证实后才才可

14、以信信任软件能够够接受用用户的输输入吗？程序从从 Innterrnett 上下下载文件件吗？数数据经过过彻底的的范围检检查了吗吗？如果果接收到到恶意数数据流会会发生什什么？所所有输入入都必须须在使用用之前经经过适当当和完全全的验证证。软件件一定不不要假设设用户数数据文件件在执行行过程中中没有发发生更改改。 更改日期期格式如果该功功能期望望美国格格式的日日期（例例如 110/113/220033），那那么当日日期是欧欧洲格式式 (113/110/220033) 时时会发生生什么？不要忘忘记测试试不可能能的日期期（例如如 022/299/20013）。更改数字字格式如果该功功能期望望美国格格式的数

15、数字（例例如 33.1441599），那那么当输输入欧洲洲格式 (3,141159226) 时会发发生什么么？ 注入脚本本如果该功功能接受受来自 webb 页表表单的输输入，那那么能不不能将脚脚本函数数插入文文本字段段中执行行？检查查 weeb 页页源代码码以查看看是否不不小心留留下了任任何敏感感的详细细信息，例例如 SSQL 数据库库服务器器密码、开开发注释释等。 返回页首首2 7. 在在两个或或多个处处理器上上进行测测试随着诸如如 Inntell Peentiium 4 处处理器中中的超线线程等技技术的出出现，对对称多处处理 (SMPP) 如如今正变变得越来来越常见见。越来来越多的的客户希

16、希望使用用具有 SMPP 功能能的系统统。每个个驱动程程序都应应该在支支持 SSMP 的系统统上进行行测试。每每个多线线程应用用程序都都应该在在多 CCPU 系统上上进行测测试，从从而确保保一个或或多个线线程能够够在同一一时刻正正常执行行。类似似的，每每个硬件件驱动程程序都应应该在 SMPP 系统统上进行行测试。应应该特别别关注多多用户软软件，因因为在一一个用户户的进程程空间中中执行的的线程不不应该允允许另一一个用户户的违法法访问。还还应该在在 644 位平平台上测测试驱动动程序，对对于 664 位位系统，要要特别关关注 PPAE 等问题题。 每个测试试人员和和开发人人员都应应该具备备的条件件

17、请确保软软件项目目的每个个测试人人员和开开发人员员都至少少拥有一一台能够够使用的的支持 SMPP 的系系统。 打开超线线程如果测试试系统在在 Peentiium 4 超超线程 CPUU 上运运行 WWinddowss XPP 或 Winndowws SServver 20003，那那么要进进行 SSMP 测试，只只需确保保在 BBIOSS 设置置中启用用超线程程。 添加第二二个处理理器许多工作作站级别别的计算算机都可可以通过过添加处处理器来来支持 SMPP。启用用 SMMP 的的一种快快速、廉廉价（与与购买新新计算机机相比）而而简便的的方法是是购买并并安装第第二个处处理器。 关于早期期 Wii

18、ndoows 发布版版的警告告Winddowss 20000 和早期期 Wiindoows 操作系系统不支支持在单单个和多多个 CCPU 之间进进行动态态切换。将将第二个个处理器器添加到到早期的的系统可可能需要要重新安安装操作作系统。在在所有可可接受的的系统上上测试整整个包，并并用文档档记录需需要安装装哪些服服务包。 返回页首首2 8. 了了解 220 条条安全准准则每个软件件开发人人员都应应该熟悉悉文章“110 条条永恒的的安全准准则”和和“100 条永永恒的安安全管理理准则”（例例如通过过测试来来确保失失败的安安装或使使用不会会将系统统置于不不安全状状态）。这这些规则则和Wrritiing

19、 Seccuree Coode（第第二版）中的大量信息为理解什么是设计良好和安全的软件提供了一个良好的起点。 深入实践践防御仅仅存在在一个可可能的安安全漏洞洞并不意意味着游游戏结束束。如果果特定的的安全技技术失败败，那么么应该定定义一些些方法来来降低直直接风险险和次要要风险。定定义、设设计并构构建了降降低风险险的方法法之后，对对其进行行测试。请请记住，设设计良好好的软件件会正常常地失败败并跳转转到安全全模式。如如果有所所怀疑，则则拒绝访访问。虽虽然允许许安装权权限获得得管理权权限，但但它不应应该将系系统置于于不安全全的状态态。确保保安装程程序未配配置超出出软件运运行所需需的最低低特权的的任何内

20、内容。 将安全性性设计到到产品中中开始开发发时就考考虑安全全性，不不要尝试试在以后后加入安安全功能能。创建建一个威威胁模型型，并作作为设计计过程的的一个重重要部分分。在编编写代码码之前分分析潜在在的威胁胁可以减减少以后后在减轻轻安全威威胁方面面的工作作。仔细细的设计计可以减减小暴露露给潜在在的恶意意用户的的“表面面区域”。 保护所有有测试系系统在不安全全的系统统上测试试安全性性毫无价价值！适适当地使使用补丁丁包、防防病毒软软件和防防火墙来来保护所所有测试试系统。这这对于要要 Innterrnett 进行行通信的的程序尤尤其重要要。 返回页首首2 9. 使使用可用用的工具具Micrrosooft

21、 和其它它独立软软件供应应商拥有有一些廉廉价的工工具可用用来进行行加强、更更新、扫扫描、测测试和评评估软件件安全性性。 Winddowss UppdatteWinddowss 20000 Serrvicce PPackk（SPP）3、WWinddowss XPP 和 Winndowws SServver 20003 中中内置的的 Wiindoows Upddatee 和自自动更新新功能是是测试系系统通过过获取所所有最新新的补丁丁包来保保持最新新的最佳佳方法。定定期更新新所有测测试系统统。 Micrrosooft Basseliine Seccuriity Anaalyzzer，vv. 11.2

22、Micrrosooft Basseliine Seccuriity Anaalyzzer (MBBSA) 是一一个免费费的工具具，用于于扫描和和评估任任何系统统（客户户端和服服务器）与与安全最最佳实践践的一致致性。MMBSAA 检查查补丁状状态以及及各种其其它系统统设置，然然后提供供一个关关于如何何更正所所发现的的问题的的简单报报告。 Micrrosooft Winndowws AAppllicaatioon CComppatiibillityy Tooolkkit，vv. 33.0Winddowss Apppliicattionn Coompaatibbiliity Tooolkiit，vv

23、3.00 包含含几个有有用的工工具，可可以用来来检测前前面提示示中提到到的许多多问题。AAppllicaatioon VVeriifieer 对对于检测测常见的的软件问问题特别别有用。这这个工具具包可以以免费使使用。 网络扫描描工具Netwworkk Moonittor (NeetMoon) 和其它它网络扫扫描和分分析工具具对于在在进行特特定的软软件测试试期间查查看和分分析计算算机之间间的网络络流量非非常有用用。仔细细分析数数据可以以发现哪哪些地方方还存在在未被完完全降低低的风险险。 返回页首首2 10. 分析源源代码仔细检查查源代码码的安全全性可以以揭示潜潜在的安安全漏洞洞和风险险。Wrri

24、tiing Seccuree Coode（第第二版）对于检查哪些方面有一些优秀的建议。 进行代码码检查将与特定定功能相相关的所所有部分分集中起起来并逐逐行检查查它们的的代码。在在以多人人同意的的方式下下对发现现的任何何问题进进行更改改之后，都都应该进进行验证证。 查找存在在风险的的函数Writtingg Seecurre CCodee（第二二版） 包含一一系列优优秀的附附录，其其中列出出了经常常被错误误使用的的函数及及其引起起的潜在在安全漏漏洞。考考虑将对对不安全全的函数数的所有有引用替替换为建建议的备备选函数数。 使用自动动化扫描描使用自动动化的源源代码分分析工具具（例如如为驱动动程序使使用 PPREffastt）可以以加快代代码检查查过程并并提供一一致的反反馈。虽虽然一些些工具偶偶尔会给给出错误误的反馈馈，但是是仍然应应该仔细细检查任任何反馈馈。