■ 何春江

珠海大橫琴科技發(fā)展有限公司 廣東珠海 519000

1 引言

JAVA語言作為一種可以撰寫跨平臺(tái)應(yīng)用軟件的面向?qū)ο蟮某绦蛟O(shè)計(jì)語言，以其卓越的通用性、高效性和平臺(tái)移植性，深受全球眾多企業(yè)的青睞，JAVA源代碼應(yīng)用軟件的產(chǎn)品更是數(shù)不勝數(shù)。

目前黑客的攻擊趨勢(shì)從以往的操作系統(tǒng)轉(zhuǎn)向了一般的應(yīng)用軟件，JAVA源代碼應(yīng)用軟件也深受其害。我們的目的就是結(jié)合工具的理論漏洞指標(biāo)和用戶對(duì)指標(biāo)的認(rèn)可需求，給用戶提供源代碼安全漏洞掃描，快速鎖定易被利用的安全漏洞，實(shí)現(xiàn)軟件安全性的全面提升。

2 測(cè)試內(nèi)容、方法及結(jié)果

2.1 測(cè)試內(nèi)容

對(duì)應(yīng)用程序進(jìn)行安全漏洞測(cè)試伴隨著軟件的整個(gè)開發(fā)周期，目的是提高開發(fā)者的安全意識(shí)，使開發(fā)者在編寫代碼時(shí)就注意一些比較容易出現(xiàn)卻又較易修改的錯(cuò)誤，解決一些在代碼中的安全隱患，杜絕為黑客留下可乘之機(jī)。

本文借助某源代碼安全漏洞靜態(tài)檢測(cè)工具，對(duì)一個(gè)JAVA語言應(yīng)用程序源代碼的案例采用自動(dòng)化測(cè)試手段與人工分析相結(jié)合的方法進(jìn)行了源代碼安全漏洞掃描靜態(tài)測(cè)試。該案例共有JAVA語言源代碼44791行，根據(jù)應(yīng)用程序的特點(diǎn)，同時(shí)結(jié)合對(duì)用戶需求的調(diào)研分析，針對(duì)JAVA語言源代碼的218種安全漏洞進(jìn)行了測(cè)試。

2.2 測(cè)試方法

明確了需要測(cè)試的內(nèi)容后，即可在源代碼安全漏洞靜態(tài)檢測(cè)工具中選擇需要測(cè)試的JAVA語言代碼安全漏洞指標(biāo)，對(duì)被測(cè)的JAVA語言應(yīng)用軟件源代碼執(zhí)行安全漏洞掃描。掃描完成后需要根據(jù)安全漏洞指標(biāo)的相關(guān)描述對(duì)掃描結(jié)果進(jìn)行人工分析，排除掃描結(jié)果中的誤報(bào)。

源代碼安全漏洞測(cè)試的過程主要分為兩個(gè)階段，包括測(cè)試階段和分析階段。

（1）測(cè)試階段。

在測(cè)試階段中，針對(duì)用戶關(guān)注和問題嚴(yán)重級(jí)別高的安全漏洞進(jìn)行源代碼的安全漏洞測(cè)試，目的是發(fā)現(xiàn)問題后，鎖定問題代碼。

（2）分析階段。

在分析階段中，針對(duì)測(cè)試階段所發(fā)現(xiàn)的問題代碼進(jìn)行分析和比較，排除誤報(bào)問題后分析漏洞代碼產(chǎn)生的原因，比較并對(duì)問題代碼進(jìn)行模擬黑客攻擊的假設(shè)，通過對(duì)黑客攻擊的分析挖掘解決問題的方法。

2.3 測(cè)試結(jié)果分析

本次源代碼安全漏洞測(cè)試涵蓋了不檢查循環(huán)條件中的輸入值、跨站腳本、SQL注入、絕對(duì)路徑遍歷等218種JAVA安全漏洞類別的內(nèi)容，未發(fā)現(xiàn)代碼注入、命令注入、連接字符串注入等共186種JAVA語言代碼安全漏洞，定位了跨站腳本、SQL注入、不檢查循環(huán)條件中的輸入值等共32種JAVA語言代碼安全漏洞481個(gè)。其中：3級(jí)高風(fēng)險(xiǎn)代碼安全漏洞8個(gè)，2級(jí)中風(fēng)險(xiǎn)代碼安全漏洞31個(gè)，1級(jí)低風(fēng)險(xiǎn)代碼安全漏洞442個(gè)。

為了使測(cè)試結(jié)果更加具有說服力，體現(xiàn)源代碼安全漏洞測(cè)試的作用，本次JAVA語言源代碼安全漏洞測(cè)試針對(duì)用戶關(guān)注和問題嚴(yán)重級(jí)別高的安全漏洞，詳細(xì)分析了問題代碼的數(shù)據(jù)流和控制流，深入理解了黑客攻擊應(yīng)用軟件的方式，突出了被測(cè)應(yīng)用軟件在安全方面的脆弱性，使用戶承認(rèn)了安全風(fēng)險(xiǎn)的存在，并加強(qiáng)了對(duì)源代碼安全漏洞測(cè)試的認(rèn)可。

3 測(cè)試結(jié)果的嚴(yán)重程度和用戶的認(rèn)可度研究

經(jīng)過掃描和分析后的測(cè)試結(jié)果，從技術(shù)層面講，都屬于測(cè)試角度的分析，因?yàn)樵谡麄€(gè)測(cè)試中涵蓋的安全漏洞的風(fēng)險(xiǎn)等級(jí)都是根據(jù)理論上的嚴(yán)重程度來分類的。基于測(cè)試服務(wù)的對(duì)象是企業(yè)用戶，所以征求用戶對(duì)風(fēng)險(xiǎn)級(jí)別的意見是源代碼安全漏洞測(cè)試一個(gè)必不可少的環(huán)節(jié)。

安全漏洞問題嚴(yán)重程度理論分級(jí)包括：1級(jí)高風(fēng)險(xiǎn)（High）、2級(jí)中風(fēng)險(xiǎn)（Medium）、3級(jí)低風(fēng)險(xiǎn)（Low）和4級(jí)信息風(fēng)險(xiǎn)（Information）。用戶的風(fēng)險(xiǎn)級(jí)別的用戶反饋問題級(jí)別和認(rèn)可度分類包括：①類問題反饋級(jí)別。風(fēng)險(xiǎn)較高，容易被利用且一旦被利用會(huì)立即對(duì)公司業(yè)務(wù)造成影響的安全漏洞。②類問題反饋級(jí)別。風(fēng)險(xiǎn)中等，不容易被利用，但一旦被利用會(huì)立即對(duì)公司業(yè)務(wù)造成影響的安全漏洞。③類問題反饋級(jí)別。風(fēng)險(xiǎn)較低，不會(huì)立即對(duì)公司業(yè)務(wù)造成影響的安全漏洞。④類問題反饋級(jí)別。無風(fēng)險(xiǎn)。

安全漏洞問題嚴(yán)重程度理論分級(jí)是業(yè)界專家的一般經(jīng)驗(yàn)總結(jié)，企業(yè)開發(fā)人員和測(cè)試人員參與的測(cè)試結(jié)果的嚴(yán)重程度和用戶認(rèn)可度的反饋評(píng)估則更加符合該企業(yè)的實(shí)際。經(jīng)過比較，業(yè)界專家和企業(yè)用戶對(duì)JAVA源代碼安全漏洞指標(biāo)的認(rèn)識(shí)總體上是一致的，但一些指標(biāo)的關(guān)注程度依然是有所不同的。

（1）緩沖區(qū)溢出漏洞在嚴(yán)重程度的理論分級(jí)里屬于高等級(jí)漏洞。用戶認(rèn)為源程序?qū)懭刖彌_區(qū)的數(shù)據(jù)基本上都屬于內(nèi)部數(shù)據(jù)類型的轉(zhuǎn)換，又或者環(huán)境變量和配置文件都是項(xiàng)目內(nèi)部使用，不易被黑客利用。

（2）未捕捉的異常處理在問題嚴(yán)重程度理論分級(jí)里屬于低風(fēng)險(xiǎn)，而在用戶認(rèn)可度里屬于B類問題反饋級(jí)別，風(fēng)險(xiǎn)中等，不容易被利用，但一旦被利用會(huì)立即對(duì)公司業(yè)務(wù)造成影響的安全漏洞。用戶認(rèn)為，系統(tǒng)異常報(bào)錯(cuò)信息不明確、沒有捕獲系統(tǒng)異?；驔]有處理已捕獲到的異常在實(shí)際產(chǎn)品開發(fā)中都是不允許的，因?yàn)闀?huì)降低系統(tǒng)的可維護(hù)性，影響產(chǎn)品的服務(wù)質(zhì)量。

（3）弱加密問題在嚴(yán)重程度理論分級(jí)里屬于低風(fēng)險(xiǎn)的隱私受侵犯，在用戶認(rèn)可度里屬于D類問題反饋級(jí)別，無風(fēng)險(xiǎn)，用戶方需根據(jù)他們的業(yè)務(wù)來確認(rèn)在實(shí)際產(chǎn)品開發(fā)中是否需構(gòu)件或隨機(jī)數(shù)生成器來加密。

針對(duì)自動(dòng)化測(cè)試工具掃描出來的安全漏洞，通過分析和比較測(cè)試角度上漏洞的理論風(fēng)險(xiǎn)級(jí)別與用戶實(shí)際的反饋意見，最終進(jìn)一步完善測(cè)試解決方案和漏洞指標(biāo)，以便提供給用戶更加切合實(shí)際需求的源代碼安全漏洞測(cè)試服務(wù)。

4 結(jié)束語

本次技術(shù)研究詳細(xì)分析了問題代碼的數(shù)據(jù)流和控制流，深入理解了黑客攻擊應(yīng)用軟件的方式，突出了被測(cè)應(yīng)用軟件在安全方面的脆弱性，得到了用戶的高度認(rèn)可。通過本次技術(shù)研究，進(jìn)一步提升了JAVA語言源代碼安全漏洞測(cè)試的能力，能夠制定出更加符合用戶需求的源代碼安全漏洞測(cè)試方案，給企業(yè)用戶提供更加高效實(shí)用的軟件安全漏洞測(cè)試服務(wù)。