使用微軟開發工具實施安全性測試

領測軟件測試網 安全性測試 用 Visual Studio .NET 設計分布式應用程序安全性測試

安全性測試是有關驗證應用程序的安全服務和識別潛在安全性缺陷的過程。此節包括一些重要的測試建議，用來驗證已創建安全的應用程序。

由于攻擊者沒有闖入的標準方法，因而也沒有實施安全性測試的標準方法。另外，目前幾乎沒有可用的工具來徹底測試各個安全方面。由于應用程序中的功能錯誤也可代表潛在的安全性缺陷，因此在實施安全性測試以前需要實施功能測試。

有一點很重要，應注意安全性測試并不最終證明應用程序是安全的。而是只用于驗證所設立對策的有效性，這些對策是基于威脅分析階段所做的假設而選擇的。

下面提供測試應用程序安全性的一些建議。

測試緩沖區溢出

緩沖區溢出是計算機歷史中被利用的第一批安全錯誤之一。目前，緩沖區溢出繼續是最危險也是最常發生的弱點之一。試圖利用這種脆弱性可以導致種種問題，從損壞應用程序到攻擊者在應用程序進程中插入并執行惡意代碼。

將數據寫入緩沖區時，開發人員向緩沖區寫入的數據不能超出其所能存放的數據。如果正在寫入的數據量超出已分配的緩沖區空間，將發生緩沖區溢出。當發生緩沖區溢出時，會將數據寫入到可能為其他用途而分配的內存部分中。最壞的情形是緩沖區溢出包含惡意代碼，該代碼隨后被執行。緩沖區溢出在導致安全脆弱性方面所占的百分比很大。

實施源代碼安全檢查

根據所討論應用程序的敏感程度，實施對應用程序源代碼的安全審核可能是明智的。不要將源代碼審核與代碼檢查相混淆。標準代碼檢查的目的是識別影響代碼功能的一般代碼缺陷。源代碼安全檢查的目的則是識別有意或無意的安全性缺陷。開發處理財政事務或提供公共安全的應用程序時尤其應保證進行這種檢查。

驗證應急計劃

總是存在應用程序的安全防御被突破的潛在可能，只有應急計劃就位并有效才是明智的。在應用程序服務器或數據中心檢測到病毒時將采取哪些步驟？安全性被越過時，必須迅速作出反應來防止進一步損壞。在應急計劃投入實戰以前請弄清它們是否起作用。

攻擊您的應用程序

測試人員習慣于攻擊應用程序以試圖使其失敗。攻擊您自己的應用程序是與其類似但目的更集中的過程。嘗試攻擊應用程序時，應尋找代表應用程序防御弱點的、可利用的缺陷。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: 工具 開發 實施 微軟