馮濟(jì)舟 劉洪喜

（1中國電子科技集團(tuán)公司38所；2空軍駐安徽地區(qū)軍事代表室，安徽合肥，230088）

隨著軟件測試技術(shù)不斷發(fā)展，軟件在各產(chǎn)品中的比重也不斷增加，這對軟件測試技術(shù)提出了更高的要求。軟件代碼是組成軟件可運(yùn)行系統(tǒng)的最小單元，也是軟件測試的基礎(chǔ)。軟件代碼組合成具有某種用途的軟件系統(tǒng)，通過充分的軟件測試可以有效提高軟件系統(tǒng)的安全性、可靠性和穩(wěn)定性，以保證客戶的正常使用。

目前，軟件測試技術(shù)已經(jīng)形成一整套比較系統(tǒng)、完善且又嚴(yán)密的體系，包括文檔審查、代碼審查、靜態(tài)分析、單元測試、集成測試、軟件配置項(xiàng)測試和系統(tǒng)測試等。同時(shí)對每項(xiàng)工作的內(nèi)容進(jìn)行了具體規(guī)范和要求，并相應(yīng)地制定了一套度量方法，以保障各工作執(zhí)行的有效性。

然而遺憾的是，經(jīng)過如此周密的測試過程，軟件依然會出現(xiàn)一些意想不到的問題，這些問題往往是可以避免的。筆者歸納和總結(jié)了軟件測試無法發(fā)現(xiàn)且具有一定規(guī)律性且易被忽視的軟件代碼安全性設(shè)計(jì)問題。

1 使用可能被Shell中元字符影響的shell函數(shù)的安全性問題

在命令行shell和SQL解釋器中的元字符是指不被解釋為數(shù)據(jù)的字符。這些字符包括如 “:{&;`＇" |*?～<>^ () [] {}$ }．”。這些字符可能是命令,也可能是從命令或其它數(shù)據(jù)中分隔出來的數(shù)據(jù)。當(dāng)程序調(diào)用其它系統(tǒng)并允許攻擊者插入這些元字符時(shí)，通常的結(jié)果是攻擊者可以通過插入的元字符來完全控制運(yùn)行的應(yīng)用程序。對于具有較高安全性需求的系統(tǒng)應(yīng)避免在命令行shell中使用popen函數(shù)、system函數(shù)、execlp函數(shù)和execvp函數(shù)。

2 使用catch函數(shù)打印由異常產(chǎn)生的潛在敏感信息

在開發(fā)過程中，研發(fā)人員習(xí)慣使用catch函數(shù)打印輸出程序出現(xiàn)的異常，以發(fā)現(xiàn)、捕獲并解決系統(tǒng)可能出現(xiàn)的問題。然而在實(shí)際使用的應(yīng)用系統(tǒng)中，當(dāng)使用catch函數(shù)在其塊中打印消息時(shí)，應(yīng)避免由于系統(tǒng)錯誤導(dǎo)致異常而產(chǎn)生的潛在敏感信息的泄漏，因?yàn)閻阂庥脩艨梢愿鶕?jù)泄漏的敏感信息來攻擊應(yīng)用系統(tǒng)，給系統(tǒng)造成安全隱患。對于具有較高安全性需求的系統(tǒng)應(yīng)避免在catch塊中打印消息，以防止由于某些來自應(yīng)用程序的出錯，造成應(yīng)用程序敏感信息的泄漏。

3 使用gets函數(shù)的安全性問題

當(dāng)使用標(biāo)準(zhǔn)C庫gets函數(shù)獲取字符數(shù)據(jù)時(shí)，由于gets函數(shù)事先不知道需要讀取多少數(shù)據(jù)，且gets函數(shù)是將獲取的字符不斷傳入存儲，直至緩沖區(qū)填滿，這可能會導(dǎo)致緩沖區(qū)溢出，造成系統(tǒng)安全的隱患。該函數(shù)已經(jīng)被用來破壞電腦的安全性，應(yīng)禁止使用gets函數(shù)，相應(yīng)的使用fgets函數(shù)來代替，這樣可以預(yù)防使用gets函數(shù)時(shí)可能造成的緩存溢出隱患。

4 使用非常量參數(shù)或變量傳遞給exec函數(shù)的安全性問題

當(dāng)傳遞給exec函數(shù)的參數(shù)變量不是常量時(shí)，那么攻擊者就有可能插入一段惡意字符串片段到一個(gè)動態(tài)創(chuàng)建的字符串中。這些惡意字符串片段有可能允許攻擊者執(zhí)行一個(gè)指定的命令，給系統(tǒng)造成安全隱患。對于具有較高安全性需求的系統(tǒng)應(yīng)避免使用非常量參數(shù)或變量傳遞給exec函數(shù)。

5 使用可能產(chǎn)生資源競爭關(guān)系函數(shù)的安全性問題

競爭條件是指由于對事件的相對時(shí)間具有特別嚴(yán)重依賴性的異常行為。競爭條件通常涉及一個(gè)或多個(gè)進(jìn)程訪問一個(gè)共享資源 （如同一個(gè)文件或同一內(nèi)存），那么這種多重訪問就很難得到妥善的控制，導(dǎo)致具有競爭關(guān)系函數(shù)的異常行為。標(biāo)準(zhǔn)庫中可能產(chǎn)生資源競爭關(guān)系函數(shù)， 如 access、creat、pathconf、 opendir、 dirname、 scandir、 open、 lstat、stat、 open、 rename、 remove、 lexecve、 execl、execlp、execle、execv、 execvp、 freopen、 mktemp、link和unlink。應(yīng)禁止使用可能產(chǎn)生資源競爭關(guān)系的函數(shù)。

6 使用mbstowcs函數(shù)的安全性問題

當(dāng)使用標(biāo)準(zhǔn)庫mbstowcs函數(shù)時(shí)，其內(nèi)部堆棧分配的緩沖區(qū)可能在某些版本中導(dǎo)致緩沖區(qū)溢出，造成系統(tǒng)安全隱患，破壞電腦的安全性。因此，在軟件開發(fā)過程中應(yīng)禁止使用mbstowcs函數(shù)，以防止使用不安全的mbstowcs函數(shù)給系統(tǒng)帶來的危害。

7 使用GetTempPath函數(shù)返回當(dāng)前目錄或窗口目錄函數(shù)的安全性問題

當(dāng)使用GetTempPath函數(shù)返回當(dāng)前目錄或窗口目錄函數(shù)時(shí)，GetTempPath的函數(shù)功能是返回到臨時(shí)目錄的文件路徑。當(dāng)?shù)脚R時(shí)目錄的路徑大于分配給存儲這些信息的緩沖區(qū)時(shí)就可能造成緩沖區(qū)溢出；或者返回到的臨時(shí)目錄的文件路徑可能是不安全的目錄路徑，且在Windows操作系統(tǒng)環(huán)境下，操作系統(tǒng)不能保證對臨時(shí)文件返回的路徑是有效的或可用的，如此會給系統(tǒng)帶來安全隱患。攻擊者可以利用GetTempPath函數(shù)功能中的弱點(diǎn)，如在Windows操作系統(tǒng)中返回一個(gè)攻擊者可以讀取或?qū)懭氲穆窂?（如，c: emp），這樣攻擊者將能夠讀取或修改在臨時(shí)文件中的任何數(shù)據(jù)；或者如果在緩沖區(qū)長度沒有正確設(shè)置的情況下，攻擊者可以指定一個(gè)環(huán)境變量及其長度比路徑緩沖區(qū)的長度長。當(dāng)程序在這種環(huán)境下運(yùn)行時(shí)，路徑緩沖區(qū)就會出現(xiàn)溢出問題。對于具有較高安全性需求且具有類似情境的系統(tǒng)應(yīng)避免使用GetTempPath函數(shù)返回當(dāng)前目錄或窗口目錄函數(shù)。

軟件測試是軟件能力成熟度模型集成的重要活動。近年來，各軟件企業(yè)不僅對質(zhì)量保障的投入不斷加大，而且作為保障軟件質(zhì)量最有效的測試也不斷發(fā)展和完善，形成了一套比較系統(tǒng)而又嚴(yán)密的體系。但是經(jīng)過如此周密的測試過程，軟件依然會出現(xiàn)一些意想不到的問題。本文根據(jù)實(shí)際項(xiàng)目經(jīng)驗(yàn)，歸納和總結(jié)了軟件測試無法發(fā)現(xiàn)、具有一定規(guī)律性、易被忽視的軟件代碼安全性設(shè)計(jì)問題。此問題的歸納和總結(jié)，不僅可以幫助開發(fā)人員在編碼過程中避免一些由于誤解或者開發(fā)習(xí)慣給系統(tǒng)造成的安全性風(fēng)險(xiǎn)，而且可以幫助測試人員結(jié)合語境分析，提高在代碼檢查過程中識別存在安全性隱患的風(fēng)險(xiǎn)代碼的能力，對提高軟件質(zhì)量具有積極意義。