返回
模糊测试下软件安全漏洞发掘技术分析

模糊测试下软件安全漏洞发掘技术分析

ID:27924626

大小:68.00 KB

页数:8页

时间:2018-12-07

模糊测试下软件安全漏洞发掘技术分析_第1页
模糊测试下软件安全漏洞发掘技术分析_第2页
模糊测试下软件安全漏洞发掘技术分析_第3页
模糊测试下软件安全漏洞发掘技术分析_第4页
模糊测试下软件安全漏洞发掘技术分析_第5页
资源描述:

《模糊测试下软件安全漏洞发掘技术分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、模糊测试下软件安全漏洞发掘技术分析【摘要】模糊测试在近几年的应用范围越来越广了,模糊测试用于测试软件存在的安全漏洞,例如该项技术在客户端应用程序microsoft中word软件的测拭等等。模糊技术的应用产生了许多新的应用程序,使程序的应用安全功能更完善。本文将论述模糊测试下软件安全漏洞发掘技术分析。【关键词】模糊测试;软件;安全漏洞;发掘技术开发小组将开发完成后的应用程序交给安全小组,让其在产品发布前,进行一个快速的审核。完毕后,产品发布。但是软件在使用的过程中,安全性的问题出现了。软件的安全性必须结合到软件的开发生

2、命周期(SDLC)中去,而不是开发小组开发完毕后,再交付给安全小组进行一个快速审核。相关的专业人士认为模糊测试是一种发展的非常不错的安全漏洞发掘技术,模糊测试是涉及到自动化安全测试的,测试员对程序的汇编代码实施一个逆向工程测试,逐步分析代码,查找安全漏洞,该项技术能够被高度自动化,是任何完备的开发生命周期(SDLC)的一部分,提醒开发人员不仅在软件的测试要关注其的安全问题,在开发的周期中同样要考虑到该问题。安全漏洞发现的及时,所花费的成本修复就越低。一、模糊测试技术模糊测试是一种自动化或者是半自动化的漏洞发掘技术,发

3、现潜在的软件漏洞,然后使用目标软件通过输入一些畸形数据,对系统所出现的异常进行检测。同时模糊软件还可在不需要任何与软件有管的,或相关协议方面的知识点,可以使用开发出来的高效模糊器,去检测软件存在的安全漏洞问题。1.一般情况下,模糊测试主要包括的几个步骤(1)进行对象的测试,并确定输入的向量。(2)模糊器生成测试数据。(3)模糊测试数据的执行。一个典型的模糊测试流程首先要确定测试对象,然后构造测试数据,再发送数据给目标程序,目标程序根据构造的数据去检测手否发生异常,若结果是发生了异常,就保存数据和异常信息,若不是,就要

4、循环的进行检测。2.模糊测试的方法模糊测试可以大概定了自身的功能,是一种发现漏洞的综合方法,但在大概念的前提下,若要进行模糊测试,是需要不同的方法的。一般情况下,进行模糊测试所使用的模糊器具有两种类型,分别是基于变异的模糊器和基于生成的模糊器。这两类的模糊器可以进一步划分子类:预先生成测试用例;随机方法;协议变异人工测试法;自动协议生成测试;自动化变异或者是暴利测试。1.模糊器类型模糊器一般可以分成三大类,分别是本地模糊器;远程模糊器;web应用程序模糊器。2.模糊测试进行时的基本要求一般情况下,若要实现高效的模糊测

5、试,那么就需要对很多基本要求进行满足。(1)可重现性。此要求指的是需要测试工具有一定的能力,可以满足测试结果的重现。(2)可重要性。模块化开发可以提高模糊器的重用性。(3)代码覆盖。代码的覆盖率度量对于判定模糊测试的有效性发挥着非常的重要性作用。(4)异常检测。完成模糊工作不能单靠生成和发送测试数据,还需要准确的去判定目标程序是否发生异常。3.模糊测试技术存在一定的局限性例如访问控制的局限;内存破坏问题;多个阶段的安全漏洞问题等等。二、用于软件安全漏洞的发掘技术研究安全问题的生命线是安全漏洞。软件安全漏洞发掘可分为对

6、已知漏洞的检测和发掘未知的漏洞。通过安全扫描技术检测已知的的漏洞,去发现开发的软件系统是否存在以分布的安全的漏洞。发掘未知安全漏洞的目的便是对分布的软件、应用程序中所存在的漏洞进行检测。对于软件中存在的漏洞的模糊测试发掘技术可以划分不同的类型,根据漏洞发掘的自动化程度以及根据其软件的源代码自身的开放性,下文便是针对白盒、黑盒测试所进行的论述。1.白盒测试模糊测试主要属于黑盒测试和灰盒测试的测试领域,但是白盒测试是软件开发人员可选的一项的安全漏洞发掘技术。白盒测试是一个极端的测试技术,它对程序的所有资源进行充分的访问,

7、这些访问包括了访问程序的源代码、设计约定规律等等,这些充分访问甚至设计到了程序员的身份问题。该项技术也被称为玻璃、透明或者是半透明测试。进行源代码的评审,可以在人工完成,也可以使用自动化的工具去完成评审。人工完成源代码的评审主要是针对一些较低级的计算机程序,例如应用程序计算器的源代码的审批,但是在计算机程序包含的源代码很多的情况下,单纯的人工无法完成审批,这需要自动化的工具。代码审判也存在一些缺陷性问题,不完善的源代码分析工具,报告出错误性的问题等等。2.黑盒测试模糊技术就是黑盒技术中的一项可选的方法,该方法用于发掘

8、那些用审核方法无法发现问题的产品,但是该方法也是一个极端性的模糊测试发掘技术,在不知道应用程序的内部细节,一定程度上带有盲目性的测试。远程Web应用程序的pen测试就是该项技术应用测试的一个代表性例子,它无需要访问程序的源代码。这个黑盒测试根据自身的特点,用户若是购买了一个word软件,通过该方法,你只能得到一个经过编译后的二进制代码,无法查看

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。