关于安全测试的个重要技巧

关于安全测试的10个重要技巧简介本文提供关于使用安全的方式测试MicrosoftWindows家族操作系统应用程序的信息。这些主题分为10个技巧，任何开发人员或测试人员都可以在测试应用程序或硬件设备驱动程序时应用它们。要访问本文中提及的工具和资源，请参见本文末尾的“资源”。返回页首1.不要以管理员身份运行测试。开发人员和测试人员经常以本地管理员身份进行操作，因为这是最不会引起系统拒绝执行的方法。这种行为会给人一种虚假的稳定感觉，因为管理员实际上可以在系统上进行任何操作，所以大部分情况都很正常。一旦当前用户不是管理员，操作系统安全功能就开始生效了，这时事情就可能就不会那么顺利。幸运的是，有一个容易的解决方法：除非完全必要，不要以管理员身份运行任何测试。使用RUNAS命令Microsoft为最近的Windows版本添加了一项出色的功能，允许当前登录的用户以不同的帐户运行另一个程序。从Windows资源管理器界面或从命令行使用RUNAS命令能够快速简单地指定非管理员帐户。使用辅助本地计算机或域帐户在本地计算机上创建一个只具有本地用户权限的用户。这样，运行测试的人员可以很快看到是否有功能由于为文件系统或网络访问假设了某种权限级别而无法工作。安装程序之后，在运行测试之前注销并以本地用户身份重新登录。如果需要网络权限，那么请在测试系统上使用只具有用户特权的第二个域帐户。这样，网络权限就不会影响到测试，而管理员权限也不会引起虚假的安全感觉。一些例外……下面是一些例外，这些例外需要管理员访问权限可以接受：寻•隆设置近和安棒装需昨要能姓够以痰一种装稳固势的方冤式更恰改系激统状膛态。其•交维护叔和配茫置工似具可拒能必耀需管炒理员咽权限亿。在这些情况下，最好的编程实践是应用程序检查其启动时可用的权限，然后如果需要管理员权限才能使用所有功能，则对用户发出警告。返回页首2.在安全的文件系统(NTFS)上进行测试拨如果欣文件弓系统伟不安际全，愁以管唤理员里身份极运行奸测试眠毫无秒益处外。F厅AT芳12缓、F笼AT跨16旁和透F洁AT灭32宾只掀具有旁基本拾的文济件权失限，凶但是李N希TF发S党为测表试所粒有类卖型的猪权限蚀场景敏提供烂了完惑整而竖牢固灾的基阳础。反关使用贷N甲TF叶S易从一咸开始魔就使织用阻NT弓FS请系歼统驱蹲动器埋安装尾所有怠测试有机器拘。这菌样将曲会为活操作巷系统深配置间基本调的默钟认权此限。涛在炭Wi幅nd三ow扔s弯XP讨和扮更高梨版本边中，罪运行跌C窗ON毁VE肌RT漏命抢令会济自动鸣将安修装默叛认权领限应恳用于笛系统备卷。备并且台会考澡虑为蹄用户楚打开秩磁盘身配额匠。深首先映在岁NT粘FS座上卸测试削，根岗据需菜要在凡其它念文件轧系统江上测摔试构因为杏N伏TF锡S睁是一居个安页全的宝文件泪系统圈，所悬以，槐如果赤测试如的软啄件能肥在键NT纵FS估上量正常筋运行客，那波么它误也可缴能在忙使用把其它委不安抛全的裹文件逝系统自时正结常运速行。有在受叉限环测境中过运行捧良好涉的软凤件在保不受擦限环炎境中言通常出也会瓶运行怕良好盈。前注意窃文件逝系统换之间业的区溪别捷除了做文件蔽系统驰权限亦之外服，文半件系咳统之喘间还两有一黑些其养它区想别需柱要注梳意，佳例如腐最大纹文件吐、群足集和刮分区京大小秀。这掉些是挠测试镰边界猜情况芝的主查要区宇域。汗镜从受鹿限环婚境开凡始，音根据蒸需要丧增加鹿权限黎如果秤当前蜻用户暂无法闷访问嫁特定饿的文圈件夹恢，软提件还更能够答正常卧运行扎吗？餐特定胀文件鞋操作盘需要叉的最圈小权纠限是舍什么炮？程炉序能弊否将门文件恋保存枝到一历个“遣下拉减框”熟文件偿夹？捏首先成在文抽件夹元或文泰件共板享上念使用喂受限私的权凭限，战然后吗在测搁试过昂程中丙逐步柔添加光特权响。棚返回徒页首础3.浙不咸要改捞变桨HK该LM榨或咱%臣PR猎OG脚RA辅MF规IL枕ES僻%馅中的塞任何衰内容崖埋非常窃多多恋的程抬序都逼假设爷可以们不受闯限制摧地访株问注邪册表们的爷HK列EY莫_L诊OC妻AL冤_M竹AC稻HI久NE糖节骨和系墓统驱南动器疑上的榴%轻PR押OG芒RA羞MF兽IL按ES柄%习文件训夹。蛮对于来普通隙用户吩，这装两项灵都是孝只读虫的。索不要牺更改同它们羽的任乳何内驼容，怠除了熟在安怒装的猾时候秩。练“徽拍标一策致性迫”要乓求俊针对匹应用左程序恰徽标觉的膨"D坝es作ig抚ne乡d龄fo萌r己Wi头nd珍ow铅s轧XP声"新进行陶设计锻的应沸用程端序不霉应该肆尝试宰写入闯H模KL转M刺或档%P摸RO沿GR熊AM把FI场LE光S%液。请依参见灰"抄De允si恩gn畅ed沙f锤or逆W炮in触do亦ws用X碍P"沈应否用程悦序规象范的迁第贡3.弟0榜节。边窑以用忘户为春基础普存储笼数据帖假设芦用户敢可以到访问违%森US票ER管PR灶OF哀IL带E%敏文清件夹师，这系是安兽全合射理的偶。为荣临时辽数据硬文件采使用卧%浓TE碗MP胁%章文件陷夹。扩使用刃%监AP恢PD家AT回A%随来树以每葡个用者户为谱基础柱存储谢应用远程序嫁特定福数据锣。考驴虑将老数据级存储盛在用失户的再“我统的文澡档”做文件鼻夹下寺。对著于注洽册表恳设置则，请盯使用宫H夺KE论Y_录CU范RR匹EN赖T_妻US赞ER普。尺返回惹页首艳4.奔不挑要以痒明文背形式厅存储躺或发奶送秘膝密信括息员非常葡多的狮应用密程序久都使为用简及单的乡混淆民来隐辜藏显迹而易交见的霉信息默。这阳可能痕防止叮了偶生尔的熊窥探泊，但笑是它并不能水够提戚供任壳何有与意义馆的保详护。美边使用刮S深ys父te您m.浙Se瞧cu葬ri摩ty逃.C婶ry橡pt讨og犹ra川ph陷y亿Mi萝cr嘴os权of燃t恳.N放ET蜜框竭架包每含一兴个完战整的颤类库绢，提泻供了很用于荣哈希耕、加箩密、姨解密蚀、签匀名等搭密码征学函辞数。昆站不要角存储巧秘密允，而碰是存农储哈冲希值商如果趋必须杜存储朋一些追敏感队内容岸而不构需要化解密轧，请炎不要谎存储侦秘密括内容慰，而链应该尼存储砖私密厘内容度的单植向哈沈希值句。然我后将保计算宪出来态的哈胡希值伐与秘阶密内广容的厌哈希雹值相浴比较慢。计“加晒点盐卧”无计算尼或存长储哈沙希值他时，舒添加传一个熔唯一脱的随孕机值冷（也俩就是展一点鸦“盐瞎”）监，从炉而使陪相同变数据您的哈顾希值偿对于胶每个持用户拉或机缩器都棋是唯章一的园。赴了解陡信任抬边界乐程序斑可以驶在哪福些地浮方不据再信凳任小拍心传咽输的教数据圾？一端个定丝义良木好的元信任侦边界扮非常沾必要酿。以法律坚因素啊测试染时应旦该考旨虑一玉些法晴律要墙求，且例如贯1金99纵6村年通体过的继健康页保险脑流通沫与责遣任法湾案柄(H仍IP翼AA奋)、征计算粉机欺拴诈和晋滥用径法案嚼(祸CF橡AA企)彻以及检加利疫福尼刻亚气(C摄A)稻S莫B1劲38拨6。哪坝返回辫页首缘5.美获烫取足豪够的鞭功能肉文档建有时良在开闭发周眉期的绵最后肚时刻剧才保彩存文糖档，勿但是队文档掌是必谱需的袖，而挥且需植要谨漂慎处痛理。氧请注餐意，盼这项简提示掉的主旱题不火是关朋于完毯美，灵而是眨项目舍组应逼该拥临有关酷于每拐个特起性的鹊足够瓦的文毒档。窝没有近这类泪信息挖会加号大将渐来诊瑞断潜灿在的秒安全笨问题楚的难荐度。拖刊了解订5率个敌W籍每项琴功能姨都需更要记蒙录面5胁个方巴面，侵简称舰为：恼谁拿(w淡ho育)、族什么泳(地wh征at塞)、泥地点吹(俭wh亡er润e)驻、时器间异(w双he特n)杆和穴原因群(耕wh篮y)漏。稠列出铺文件仅该功稍能使论用哪恐些源钞文件椒？该舟功能承产生亩了哪贼些临政时文垦件？求该功赚能允挽许用教户打凤开或菌保存例哪些畅数据骨文件昼类型信？一急定不仁要假座设数六据文青件会煤在执渴行会昆话中京保持播不变哲。任柏何数挂据文静件都倍可能爹在没撞有使剑用应共用程巷序打暗开的锹情况肥下被爆恶意笔用户悼更改稻或操骆作。宫测试当文件类打开指代码泉以进串行健主壮的阴错误边处理馆。一弱定不眉要在象代码咽中或钓测试熄期间克假设恨一个拌特定瓶的文秩件名极以及哀类似锯内容敲（除凤非您惭完全秘确信还文件惊名不棍会被螺恶意革用户绞更改滋）。绩污列出惭注册恭表条输目因该功哄能需贺要读惭取哪醉些注净册表画条目活？注献册表块条目振中存精储了逝哪些吗数据效格式滥？该侦功能沸需要转将数典据写绝到注贯册表书中吗脸？黄列出者数据厘格式岁和类岔型杂该功您能以蚊X旷ML练或橡其它侍格式元存储饱或传掀输数仗据吗愁？使戒用什穷么方汽案？配方案肌（或玻相关喇格式产）中烂字段脉的有聪效范糊围是千什么陡？程进序是女否以棚专用质的二杜进制车格式她存储跨数据岸？如贞果数臭据被抱更改很会发躬生什葬么情债况？食蜻列出收错误砍消息盗该功参能是氧否会杠在某伟些情溜景下蹦失败酸？错盟误消壁息提打供的松信息严是否图太多绵？例扛如，秃最好粉提示骑用户戴名和说密码寨的某现种组祥合错世误（摆而不切指定年究竟扔是用馋户名桌错误叨还是嚷密码粒错误尚），药而不晒是告予诉用再户密掘码错刘误。亮店返回翠页首仔6.帖限扬制恶握意数熄据西使用件提示吗5飘的称文档丰，分宵析每狠个数螺据字菊段的蚁边界铸条件哪，然算后设寻计测懂试来澡检查锣每个遇字段半的有酬效性捕。毁检查尺所有慌数值戚范围剧字段器是数践值的蕉吗？腿字段市是整含数吗杨？允帜许负喇数吗剥？最随大值协是多睛少？鲁最小配值是峰多少级？线检查渗所有竟缓冲协区大降小缝如果摆字段多大小枯是屿25箩5沸个字不符，伟那么岸当输防入字以符串贸是惯25降6吗个字军符时开会发偏生什陷么？租当输立入字罢符串岭是葬25瓣6盖个近Un行ic型od敲e扯字符旨时会件发生模什么廊？讨用户炸数据潮只有阵在经固过证率实后窃才可蝶以信崭任底软件敞能够作接受笛用户边的输尺入吗旧？程企序从炼I属nt刊er渠ne祝t酱上下漠载文绍件吗亭？数悔据经糊过彻闲底的合范围秧检查撒了吗泄？如壳果接查收到橡恶意焰数据闲流会庆发生笛什么溪？所设有输惧入都守必须拍在使强用之筑前经鼓过适划当和辛完全载的验尸证。奴软件烤一定自不要鸡假设弃用户勇数据笨文件注在执寇行过孔程中愚没有访发生校更改边。伍更改堵日期挺格式趋如果亚该功绣能期番望美幅国格梯式的统日期负（例士如灿10射/1毯3/哭20悉03赤），网那么虫当日食期是矿欧洲新格式谋(召13烧/1鉴0/愤20某03买)初时会隶发生泼什么社？不导要忘朵记测籍试不郑可能券的日全期（盯例如蜜0编2/取29悉/2织01杜3）内。酿更改签数字旦格式访如果弓该功粉能期食望美凑国格串式的泻数字及（例捆如岩3.夜14难15灯9）之，那印么当经输入食欧洲奏格式燕(担3,桂14血15拖92杠6)连时主会发委生什登么？询欧注入音脚本凶如果脚该功纯能接孕受来愚自云we讲b世页表村单的跌输入顷，那田么能降不能识将脚颠本函予数插燕入文妙本字桃段中麻执行乖？检考查持we沿b欧页源阁代码掀以查白看是嫩否不案小心领留下牧了任字何敏朽感的观详细堆信息雀，例查如钩SQ佳L罚数据圣库服棋务器诊密码四、开屈发注川释等娱。规返回啊页首验7.帅在罚两个燥或多告个处恭理器剃上进沉行测况试候随着包诸如辛I贞nt包el停P饲en弱ti蜘um乡4玻处案理器咐中的抚超线鉴程等农技术但的出撕现，浴对称徐多处翁理乳(S睁MP狡)线如今机正变动得越涛来越革常见曲。越呆来越歇多的缝客户腾希望迁使用旱具有侦S嫌MP写功贞能的宣系统专。每胞个驱框动程阀序都隆应该闪在支画持蹈SM暑P仪的系乓统上讨进行赠测试凯。每期个多事线程流应用氏程序弄都应楚该在辣多梳CP驶U哭系统稻上进录行测研试，费从而鹊确保蹈一个肯或多半个线绩程能晓够在蹦同一伐时刻从正常舟执行思。类析似的激，每格个硬虫件驱耻动程隔序都湾应该若在尚SM啦P务系统咏上进兵行测违试。滨应该至特别已关注课多用翁户软勒件，励因为封在一拆个用埋户的寨进程谅空间丈中执察行的妨线程袋不应哗该允城许另子一个忍用户定的违替法访灭问。圈还应务该在杆6递4宽位平滔台上鄙测试线驱动鼻程序乡，对礼于虚64殿位唯系统资，要骨特别羊关注惠P寇AE深等宽问题勤。拨每个醒测试坟人员析和开奋发人慧员都境应该杠具备扑的条眨件克请确沈保软尤件项盲目的每每个惹测试抖人员声和开型发人园员都洒至少慧拥有和一台充能够兼使用伤的支钟持榴SM店P扫的系遣统。夕迁打开绿超线唉程向如果朝测试俭系统届在号Pe丸nt碧iu吓m题4渴超线茎程茄CP朴U末上运固行连Wi咏nd条ow棒s升XP缩或舒W归in捞do盘ws职S掌er番ve赛r通20猫03包，那秋么要演进行极S胃MP状测跑试，师只需孤确保杯在肿BI糠OS染设隙置中环启用互超线居程。勇盟添加臣第二最个处仗理器奏许多徒工作艺站级角别的放计算涝机都呆可以摆通过涨添加君处理去器来层支持贿S棒MP誓。启喷用售SM粮P搭的一任种快剩速、企廉价母（与牛购买挂新计雷算机旅相比识）而赵简便合的方柄法是疗购买础并安码装第脂二个庸处理走器。失鞠关于批早期牧W秧in堂do惑ws欣发斗布版剪的警棉告兆Wi革nd街ow渠s佩20给00孕和迎早期投W裙in荐do公ws哥操喝作系贼统不群支持建在单泛个和特多个捡C宵PU高之贼间进武行动饱态切性换。即将第斥二个辣处理亮器添崇加到话早期木的系痕统可秋能需么要重向新安点装操蹦作系凤统。哥在所狡有可伍接受坛的系宏统上商测试隙整个释包，话并用知文档膨记录岭需要恋安装库哪些壤服务容包。研针返回你页首绍8.阁了拌解终20要条涉安全抄准则竿每个卵软件蹦开发宝人员芒都应惑该熟生悉文古章“凶10黄条茶永恒订的安挪全准咱则”梢和“府10棕条轮永恒搁的安仿全管棍理准呀则”系（例对如通昨过测仅试来骄确保梳失败剥的安动装或汁使用屈不会救将系还统置哄于不晨安全先状态亩）。应这些眨规则稻和衰Wr店it顶in盲g轻Se伟cu重re烦C手od旋e（邀第二害版）词中的碌大量潮信息衡为理曲解什萍么是河设计但良好仓和安眯全的政软件丸提供缘了一施个良罢好的赞起点厕。豆深入鸭实践胸防御伴仅仅健存在亡一个角可能罢的安责全漏呀洞并竟不意傻味着列游戏偷结束据。如拔果特爸定的色安全堤技术喉失败壶，那南么应括该定返义一象些方垃法来柄降低仰直接求风险梳和次净要风爪险。伐定义疑、设阳计并延构建奔了降堪低风扁险的咸方法身之后蝴，对慨其进律行测近试。更请记蜡住，异设计叨良好快的软抢件会慈正常畜地失企败并末跳转杯到安说全模兽式。尤如果全有所冒怀疑浑，则绞拒绝舌访问惕。虽工然允巩许安以装权模限获握得管铃理权晌限，石但它怖不应薪该将站系统雄置于翼不安川全的弹状态适。确疑保安袭装程喊序未瑞配置吗超出今软件忘运行翼所需加的最辣低特醋权的知任何倾内容盟。勺将安百全性成设计股到产郊品中灾开始率开发或时就宵考虑蔑安全佳性，罩不要岗尝试拍在以程后加块入安馒全功灯能。旋创建金一个恰威胁辩模型斑，并低作为蓄设计难过程兆的一紫个重拾要部规分。订在编雷写代面码之堂前分挺析潜遥在的胳威胁舍可以肉减少忍以后龟在减赏轻安贵全威是胁方厅面的采工作秆。仔萄细的歪设计所可以念减小允暴露蠢给潜食在的紧恶意盖用户蝇的“计表面施区域侮”。晓止保护陕所有贞测试妻系统枕在不旅安全推的系猛统上渡测试偿安全其性毫跨无价方值！汉适当润地使迈用补顺丁包桥、防巷病毒考软件归和防法火墙荐来保颜护所捕有测遥试系告统。俩这对距于要斑I闻nt萍er阀ne谅t精进行功通信万的程臣序尤仇其重意要。诉次返回钻页首绒9.践使贞用可没用的槐工具稿Mi费cr牺os筑of赞t膜和其赌它独帜立软益件供笑应商曾拥有泽一些感廉价留的工查具可指用来多进行题加强丰、更菜新、径扫描斜、测登试和叫评估自软件进安全贿性。易花Wi腥nd拘ow熄s母Up样da厨te烫Wi蛋nd誓ow蜻s昌20周00障S冠er毕vi盛ce批P弱ac梢k（旬SP沸）3宵、W夸in眨do霞ws谅X泼P阻和好Wi召nd联ow怜s复Se波rv筐er需2瘦00剪3苏中内姥置的魂W飞in滩do宁ws套U维pd译at映e肯和自杠动更绢新功姥能是异测试岂系统送通过柄获取草所有环最新器的补锣丁包防来保胞持最欺新的筋最佳太方法鞋。定肉期更级新所习有测牲试系裹统。腥墓Mi验cr钱os呈of懂t扛Ba欺se翁li幻ne今S巨ec耕ur葛it棒y润An发al畜yz剃er所，v杏.涛1.阅2宋Mi洪cr滔os御of适t劫Ba逼se掠li耗ne蜂S容ec趣ur价it驳y报An凯al犬yz天er氧(初MB盲SA速)帖是一蜘个免盒费的屋工具特，用货于扫惧描和同评估睁任何斥系统棚（客雕户端刚和服谊务器醉）与丽安全秧最佳床实践骂的一丛致性谅。M烛BS韵A摘检查亭补丁识状态卫以及峰各种他其它窑系统刃设置趁，然兼后提赵供一妈个关塌于如尺何更它正所律发现谷的问落题的李简单总报告怠。贪Mi配cr未os框of猴t艰Wi愉nd堡ow窜s挑Ap栗pl远ic夏at调io汗n梅Co申mp沃at燕ib宇il毅it培y资To摆ol撕ki勿t，舞v.激3调.0守Wi爷nd蜂ow隔s混Ap崇pl牢ic传at装io繁n龙Co务mp李at望ib电il躬it赤