張蕾

摘 要：軟件在給人類快速普及和帶來便利的同時，軟件安全漏洞的存在也會對公司和個人造成重大經(jīng)濟損失，甚至危害到人身安全。本文針對不同的測試對象、源代碼、移動APP和web，分別介紹對應(yīng)的測試方法和工具。

關(guān)鍵詞：安全測試；源代碼；移動APP安全；web安全；測試工具

中圖分類號：TP311 文獻標(biāo)識碼：A

0.引言

在軟件行業(yè)快速發(fā)展的同時，安全測試逐漸得到人們的重視。根據(jù)測試對象的不同，安全測試也需要采用不同的方法。本文重點介紹適用于源代碼、移動APP和web的安全測試方法和工具。

1.源代碼安全測試

靜態(tài)分析技術(shù)在安全審計方面有著舉足輕重的地位，代碼級安全的實質(zhì)就是要保護信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源從最底層免受各種類型的威脅、干擾和破壞。目前源代碼靜態(tài)掃描工具有Its4、Rats、Flawfinder、Splint、Cppcheck等，這里簡要介紹下fortify工具。

Fortify SCA 是一個靜態(tài)的、白盒的軟件源代碼安全測試工具。它通過內(nèi)置的五大主要分析引擎：數(shù)據(jù)流、語義、結(jié)構(gòu)、控制流、配置流等對應(yīng)用軟件的源代碼進行靜態(tài)的分析，分析的過程中與它特有的軟件安全漏洞規(guī)則集進行全面地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并給予整理報告。

Fortify源代碼掃描結(jié)果如圖1所示。

2.移動APP安全測試

隨著移動應(yīng)用軟件的快速發(fā)展，惡意軟件和病毒等方面的安全事件也大幅增長。針對移動APP的安全測試包括：安裝包測試、敏感信息測試、軟鍵盤劫持、賬戶安全、數(shù)據(jù)通信安全、組件安全測試、服務(wù)器接口。目前流行的移動APP安全測試小工具有dex2jar、jd_gui、drozer等。這里介紹一下移動應(yīng)用風(fēng)險評估系統(tǒng)MARS。

MARS具備“即插即用、隨時測試、自動流程”的特色，支持現(xiàn)在移動應(yīng)用的幾種形態(tài)：APP、微信公眾號、Web（H5）方式。通過專項測試平臺、android測試終端、ios測試終端，自集成無線網(wǎng)絡(luò)測試環(huán)境等設(shè)備的整合，可以實現(xiàn)一站式全功能覆蓋的移動應(yīng)用安全性測試。MARS除了對客戶端、通信管道、后臺服務(wù)器端進行全面的安全檢測，也可以對用戶的業(yè)務(wù)操作進行檢測（短信炸彈、驗證碼安全等），大幅度提高移動應(yīng)用APP安全檢測能力。

MARS報告展示如圖2所示。

3.web安全測試

Web應(yīng)用安全漏洞分為服務(wù)器端漏洞和客戶端漏洞[4]。目前企業(yè)組織面臨的最嚴(yán)重的Web漏洞包括：注入、失效的身份認(rèn)證和會話管理、跨站腳本、敏感信息泄露等。Web安全漏洞掃描工具層出不窮，常見的有webinspect、skipfish、w3af、WVS、IBM AppScan等，AppScan工具最為流行。

AppScan是一個在所有級別應(yīng)用上提供全面糾正任務(wù)的工具，提供中文支持。AppScan掃描Web應(yīng)用的基礎(chǔ)架構(gòu)，進行安全漏洞測試并提供可行的報告和建議。

AppScan掃描結(jié)果如圖3所示。

結(jié)語

本文針對源代碼、移動APP和Web三個不同的測試對象，描述了不同的測試方法和適用工具，希望能夠?qū)V大從業(yè)者有所參考。

參考文獻

[1]王斌.基于Fortify SCA的隱通道分析技術(shù)的研究與實現(xiàn)[D]. 北京理工大學(xué)，2016.

[2]羅琴靈.基于靜態(tài)檢測的代碼審計技術(shù)研究[D].貴州大學(xué)，2015.

[3]邱鵬.移動APP測試實戰(zhàn)[M].北京：機械工業(yè)出版社，2015.

[4]索亮.對主流掃描工具漏洞檢測能力的測試與分析[J].信息安全技術(shù)，2010（6）：120-128.

[5]張楠.Web應(yīng)用安全漏洞掃描技術(shù)研究[D].浙江大學(xué)，2015.