软件安全-04-软件安全测试

1、软件安全软件安全UESTC-INTEL IA JOINT LAB 软件安全技术软件安全技术 示范性软件学院软件技术系 郭建东 软件安全软件安全UESTC-INTEL IA JOINT LAB 软件安全软件安全UESTC-INTEL IA JOINT LAB 主要内容：主要内容： 4.7 安全漏洞分级 4.8 安全的常规测试方法 4.9 穿透测试 软件安全软件安全UESTC-INTEL IA JOINT LAB 4.7 安全漏洞分级安全漏洞分级 DREAD模型：进行威胁程度级别分析的有效技 术。Michael Howard 和David Leblanc在编写 安全的代码提出。 DREAD： 潜在

2、的破坏（Damage potential） 再现性（Reproducibility） 可利用性（Exploitability） 受影响用户（Affected users） 可发现性（Discoverability） 软件安全软件安全UESTC-INTEL IA JOINT LAB 利用利用DREAD模型对威胁分级（模型对威胁分级（1）：）： 潜在的破坏 如果该漏洞被利用，所产生的破坏程度 再现性 探测并利用该漏洞所需要的努力要多久 可利用性 是否需要身份鉴别？ a) 需要身份鉴别 b) 不需要身份鉴别，但需要难以确定的知识 c) 不需要身份鉴别，也不需要特殊的知识 软件安全软件安全UESTC-

3、INTEL IA JOINT LAB 受影响的用户 漏洞利用的影响面有多大 a) 仅仅是特殊的配置 b) 普通情况 c) 默认用户或者大多数用户 可发现性 漏洞研究人员或黑客找出该漏洞的可能性 利用利用DREAD模型对威胁分级（模型对威胁分级（2）：）： 软件安全软件安全UESTC-INTEL IA JOINT LAB TRAP模型模型 基于可利用性提出。 TRAP包括因素： 时间（Time） 可靠性（Reliability）/再现性（ Reproducibility） 访问（Access） 定位（Positioning） 软件安全软件安全UESTC-INTEL IA JOINT LAB 利用

4、利用TRAP模型对威胁分析（模型对威胁分析（1） 时间：某些漏洞可能需要长时间的探 测并利用。如加密漏洞需要数千年的 时间计算才能利用，表示该漏洞的风 险非常低。 可靠性/再现性：漏洞的严重程度依赖 于该漏洞可被攻击者利用的可靠性或 再现性。通常高级别漏洞的可靠性和 可再现性高。 软件安全软件安全UESTC-INTEL IA JOINT LAB 访问：利用漏洞通常可以为攻击者 提供更高的访问权。 定位：利用一个漏洞，攻击者必须 能够与存在该漏洞的应用程序交互， 并能访问到含有该漏洞的代码。 利用利用TRAP模型对威胁分析（模型对威胁分析（2） 软件安全软件安全UESTC-INTEL IA JO

5、INT LAB 4.8 安全的常规测试方法安全的常规测试方法 4.8.1 基于风险的安全测试 4.8.2 白盒、黑盒、灰盒测试 软件安全软件安全UESTC-INTEL IA JOINT LAB 4.8.1 基于风险的安全测试基于风险的安全测试 安全测试的目标：在给定的时间和资 源不变的情况下，尽可能多地找出最为 严重的安全缺陷。 威胁建模风险建模 基于风险的测试是软件测试的常规方 法 软件安全软件安全UESTC-INTEL IA JOINT LAB 基于风险的测试的三个步骤：基于风险的测试的三个步骤： Step1 信息搜集 Step2 威胁（风险）建模 Step3 可用性分析 软件安全软件安全

6、UESTC-INTEL IA JOINT LAB Step1 信息搜集信息搜集 信息搜集的目的：信息搜集的目的： 熟悉程序的设计熟悉程序的设计 了解程序访问入口点位置了解程序访问入口点位置 了解程序所涉及的信息资产需要保了解程序所涉及的信息资产需要保 护的信息护的信息 信息搜集的方法：信息搜集的方法： 程序设计文档的评审程序设计文档的评审 与设计人员和架构师会谈与设计人员和架构师会谈 运行时分析使用调试和诊断程序运行时分析使用调试和诊断程序 软件安全软件安全UESTC-INTEL IA JOINT LAB 与架构师会谈内容：与架构师会谈内容： 了解系统组件框架 了解组件之间的主要数据流 了解来

7、自系统进程空间之外的数 据流程序外的数据是非受信数据 ，可能是攻击性输入 软件安全软件安全UESTC-INTEL IA JOINT LAB 可能的外部数据流：可能的外部数据流： 网络I/O 远程过程调用（RPC） 外部系统查询：域名系统（DNS）、数据 库查找、轻量级目录访问协议（LDAP） 文件I/O 注册表 命名管道，互斥、共享内存 WINDOWS 消息 其他的操作系统调用 软件安全软件安全UESTC-INTEL IA JOINT LAB 要求架构师对外部数据流给予说明：要求架构师对外部数据流给予说明： 数据流的目的 是否进行了输入检查？白名单还是黑 名单？ 有没有与数据流结合的身份鉴别或

8、会 话管理？ 是否有反拒绝服务攻击的保护措施？ 软件安全软件安全UESTC-INTEL IA JOINT LAB 运行时分析：运行时分析： 架构师的描述内容可能与真实情况违背 应用程序痕迹（application footprinting）： 网络端口 文件 注册表键值 软件安全软件安全UESTC-INTEL IA JOINT LAB Step2 威胁建模威胁建模 威胁建模的目的：排定测试优先级，找 出测试区域，发现系统弱点 关于威胁建模的参考资料： Thread Modeling，Frank Swiderski ，Window Snyder，Microsoft公司 软件安全软件安全UESTC

9、-INTEL IA JOINT LAB 威胁建模步骤：威胁建模步骤： 识别威胁路径 识别威胁 识别漏洞 将漏洞分级/排定优先级 软件安全软件安全UESTC-INTEL IA JOINT LAB 威胁建模步骤威胁建模步骤1识别威胁路径识别威胁路径 目的：识别应用程序级别最高的风 险领域，确定相应的保护措施 步骤： 了解应用程序平台和编程语言的整体 强度 确定用户的访问类别 建立并分析数据流图 软件安全软件安全UESTC-INTEL IA JOINT LAB 威胁建模步骤威胁建模步骤2识别威胁识别威胁 目的：深入识别沿威胁路径的处理，逐一理清 与处理相关的每一种威胁。 针对威胁路径的每一个处理组件

10、的问题列表： 该组件执行什么样的处理 该组件如何确定身份 该组件信任数据或者其他组件吗 该组件修改了什么数据 该组件有何外部连接 软件安全软件安全UESTC-INTEL IA JOINT LAB 在一个威胁路径上的在一个威胁路径上的9个高风险活动：个高风险活动： 授权 同步或会话管理 处理私密数据 网络访问 数据解析 文件访问 数据库访问 生成子进程 身份鉴别 软件安全软件安全UESTC-INTEL IA JOINT LAB 目的：找出可能存在于组件中的实际漏洞 。 对漏洞的可能缓解措施： 数据验证测试 资源监视 关键功能的访问控制 搜寻漏洞的方法及途径： 安全设计审查 安全代码审查 安全测试

11、 威胁建模步骤威胁建模步骤3识别漏洞识别漏洞 软件安全软件安全UESTC-INTEL IA JOINT LAB DREAD模型： Damage potential 潜在的破坏 Reproducibility 再现性 Exploitability 可利用性 Affected users 受影响的用户 Discoverabiliby 可发现性 威胁建模步骤威胁建模步骤4风险分级风险分级 软件安全软件安全UESTC-INTEL IA JOINT LAB Step3 判定可利用性判定可利用性 目的：判断漏洞是否可被攻击者利用。 关于可利用性的一个基本原则：在开发 中直接修补一个可能会被利用的问题比花 时间判定其是否会被利用容易。 软件安全软件安全UESTC-INTEL IA JOINT LAB 4.8.2 白盒、黑盒和灰盒测试白盒、黑盒和灰盒测试 白盒测试：也称明盒测试、开盒测试或 信息充分测试。 白盒测试可以看作是内部的攻击。 测试人员可以访问源代码和设计文档， 可以进行威胁建模或逐行的代码检查。 白盒测试是找出漏洞最为有效的方法。 软件安全软件安全UESTC-INTEL IA JOINT LAB 黑盒测试：黑盒测试： 以局外人的身份对系统进行攻击，使用 工具检查系统的攻击面，并探查