浅谈软件测试中的安全测试
这是我参与更文挑战的第16天
前面我们讲过黑白盒测试和性能测试,但是呢,对于一个软件来说,安全测试也是非常重要的。就像封面所示,内容很诱人,一旦用户点击进去,就很容易让其执行非本意的操作,试想下结果……不堪设想。因此,做好软件安全测试,共同营造一个良好的软件环境是至关重要的。
在下面的这篇文章中,将讲解关于软件测试中的安全测试。一起来学习吧~
一、💿安全测试概念
1、安全测试概述
安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。
2、安全测试与软件生命周期的关系
安全测试贯穿于软件的整个生命周期。如下图所示:
3、常规测试与安全测试的不同
(1)测试目标不同
普通测试以发现 Bug
为目标;
安全测试以发现安全隐患为目标。
(2)假设条件不同
普通测试假设导致问题的数据是用户不小心造成的,接口一般只考虑用户界面;
安全测试假设导致问题的数据是攻击者处心积虑构造的,需要考虑所有可能的攻击途径。
(3)思考域不同
普通测试以系统所具有的功能为思考域;
安全测试的思考域不但包括系统的功能,还有系统的机制、外部环境、应用与数据自身安全风险与安全属性等。
(4)问题发现模式不同
普通测试以违反功能定义为判断依据;
安全测试以违反权限与能力的约束为判断依据。
二、🔍安全测试基本原则
1、培养正确的思维方式
安全测试人员要有创造性思维,创造性思维能够帮助我们站在攻击者角度思考各种无法预期的情况,同时能够帮助我们猜测开发人员是如何开发的,如何绕过程序防护逻辑,以某种不安全的行为模式导致程序失效。
2、尽早测试和经常测试
安全性缺陷和普通 Bug
没什么区别,越早发现修复成本越低,要做到这一点,最开始的就是在软件开发前期对开发和测试团队进行常见安全问题的培训,教会他们学会如何检测并修复安全缺陷。
虽然新兴的第三方库、工具以及编程语言能够帮助开发人员设计出更安全的程序,但是新的威胁不断出现,开发人员最好能够意识到新产生的安全漏洞对正在开发的软件的影响,测试人员要转变思维方式,从攻击者角度的各个细节测试应用程序,使软件更加安全。
3、选择正确的测试工具
很多情况下安全测试需要模拟黑客的行为对软件系统发起攻击,以确保软件系统具备稳固的防御能力。模拟黑客行为就要求安全测试人员擅长使用各种工具,如漏洞扫描工具、模拟数据流行为的前后台相关工具、数据包抓取工具等。
现在市面上提供了很多安全扫描器或者应用防火墙工具可以自动完成许多日常安全任务,但是这些工具并不是万能的。作为测试人员,我们要准确了解这些工具能做什么,不能做什么是非常重要的,切不可过分夸大或者不当使用测试工具。
4、尽可能测试源代码
使用源代码扫描工具对软件进行代码扫描,一方面可以找出潜在的风险,从内对软件进行检测,提高代码的安全性;另一方面也可以进一步提高代码的质量。黑盒的渗透测试和白盒的源代码扫描内外结合,可以使软件的安全性得到极大程度的提高。
5、测试结果文档化
测试总结的时候,明智且有效的做法是将测试行动和结果清晰准确地记录在文档中,产生一份测试报告,该报告最好包括漏洞类型、问题引起的安全威胁及严重程度、用于发现问题的测试技术、漏洞的修复、漏洞风险等。
一份好的测试报告应该帮助开发人员准确定位软件安全漏洞,从而有效进行漏洞修补,使软件更安全可靠。
三、🔦常见安全漏洞
1、SQL注入
(1)定义
所谓 SQL
注入就是把 SQL
命令人为的输入 URL
、表格域、或者其他动态生成的 SQL
查询语句的输入参数中,最终达到欺骗服务器执行恶意的 SQL
命令。
(2)案例
案例1:
str SQL=“select * from users where (name=‘“+username+”’) and (pw=‘“+password+”’); ”
str SQL=“select * from users where (name=‘1’ or ‘1’=‘1’) and (pw=‘1’ or ‘1’=‘1’); ”
案例2:
str SQL=“select * from users where (name=‘张三’;DROP TABLE users;--)”
Select *from users where name=‘张三’; DROP TABLE users
(3)如何防范SQL注入
SQL
注入是风险非常高的安全漏洞,我们可以在应用程序中对用户输入的数据进行合法性检测,包括用户输入数据的类型和长度,同时,对 SQL
语句中的特殊字符(如单引号、双引号、分号等)进行过滤处理。
由于 SQL
注入攻击的 Web
应用程序处于应用层,因此大多防火墙不会进行拦截。除了完善应用代码外,还可以在数据库服务器端进行防御,对数据库服务器进行权限设置,降低 Web
程序连接数据库的权限,撤销不必要的公共许可,使用强大的加密技术保护敏感数据并对被读取走的敏感数据进行审查跟踪等。
2、XSS跨站脚本攻击
(1)XSS命名
XSS
全拼为 Cross Site Scripting
,意为跨站脚本,其缩写原本为 CSS
,但这与 HTML
中的层叠样式表(Cascading Style Sheets)缩写重名了,为了区分就将跨站脚本改为了 XSS
。
(2)定义
XSS
(Cross Site Scripting)是 Web
应用系统最常见的安全漏洞之一,它主要源于 Web
应用程序对用户输入检查和过滤不足。攻击者可以利用 XSS
漏洞把恶意代码注入到网站中,当有用户浏览该网站时,这些恶意代码就会被执行,从而达到攻击的目的。
(3)xss攻击过程
先用一张图来演示XSS的攻击过程:
XSS攻击过程有以下4个步骤:
- 攻击者通过邮件或其他方式诱使用户点击包含恶意代码的链接,例如攻击者通过E-mail向用户发送一个包含恶意代码的网站
home.com
。 - 用户点击链接后,浏览器会在用户毫不知情的情况下执行链接中包含的恶意代码。
- 将用户与
home.com
交互的cookie
和session
等信息发送给攻击者。 - 攻击者拿到这些数据之后,就会伪装成用户与真正的网站进行会话,从事非法活动。
(4)如何防御
对于 XSS
漏洞,最核心的防御措施就是对用户的输入进行检查和过滤,包括 URL
、查询关键字、 HTTP
头、 POST
数据等,仅接受指定长度范围、格式适当、符合预期的内容,对其他不符合预期的内容一律进行过滤。
除此之外,当向 HTML
标签或属性中插入不可信数据时,要对这些数据进行相应的编码处理。将重要的 cookie
标记为 http only
,这样 javascript
脚本就不能访问这个 cookie
,避免了攻击者利用 javascript
脚本获取 cookie
。
3、CSRF跨站请求伪造攻击
(1)定义
CSRF
(Cross-Site Request Forgery)为跨站请求伪造,它是一种针对 Web
应用程序的攻击方式,攻击者利用 CSRF
漏洞伪装成受信任用户的请求,来访问受攻击的网站。
(2)攻击过程
下面用一张图来演示 CSRF
的攻击过程:
(3)如何攻击
在 CSRF
攻击中,当用户访问一个信任网站时,在没有退出会话的情况下,攻击者诱使用户点击恶意网站,恶意网站会返回攻击代码,同时要求访问信任网站,这样用户就在不知情的情况下将恶意网站的代码发送到了信任网站。
(4)CSRF和XSS的不同之处
XSS
是盗取用户信息伪装成用户执行恶意活动,而 CSRF
则是通过用户向网站发起攻击。
如果将 XSS
攻击过程比喻为小偷偷取了用户的身份证去办理非法业务,则 CSRF
攻击则是骗子“劫持”了用户,让用户自己去办理非法业务,以达到自己的目的。
(5)如何防范CSRF
CSRF
漏洞产生的原因主要是对用户请求缺少更安全的验证机制,防范 CSRF
漏洞的主要思路就是加强后台对用户及用户请求的验证,而不能仅限于 cookie
的识别。
例如,使用 http
请求头中的 Referer
对网站来源进行身份校验,添加基于当前用户身份的 token
验证,在请求数据提交前,使用验证码填写方式验证用户来源,防止未授权的恶意操作。
(6)Referer
HTTP Referer
是请求头的一部分,代表网页的来源(上一页的地址),当浏览器向 Web
服务器发送请求的时候,一般会带上 Referer
,告诉服务器此次访问是从哪个页面链接过来的,服务器由此可以获得一些信息用于处理。