李洪濤 張秀娟

摘要：計算機軟件安全漏洞檢測技術，主要目是在軟件開發(fā)過程中幫助用戶發(fā)現(xiàn)潛在安全問題，在軟件使用過程中幫助用戶規(guī)避其中存在安全風險，保護計算機設備和用戶信息安全。在全世界互聯(lián)網(wǎng)高速發(fā)展背景條件下，移動互聯(lián)網(wǎng)逐漸成為主流，物聯(lián)網(wǎng)也已形成發(fā)展趨勢，計算機軟件安全隱患，會影響計算機系統(tǒng)穩(wěn)定性和安全性。因此，探究計算機軟件安全漏洞檢測技術，對保障我國互聯(lián)網(wǎng)中計算機軟件安全運行，可以提供有效幫助。

關鍵詞：計算機軟件;安全漏洞;技術分析;研究

中圖分類號：TP311.5

一 計算機軟件中安全漏洞。

計算機軟件安全漏洞產(chǎn)生的來源，主要是軟件本身在編寫過程中產(chǎn)生隱性缺陷。這些缺陷有的是設計原因造成，有的是開發(fā)人員技術性失誤造成，也有的是隨著技術發(fā)展和條件變化而暴露出來。這些安全漏洞如果被不法分子利用，通過這些缺陷在未經(jīng)授權情況下對系統(tǒng)進行訪問和控制，可能對系統(tǒng)正常穩(wěn)定運行產(chǎn)生不確定影響，嚴重情況會造成信息泄露、系統(tǒng)軟硬件故障，甚至不可預知經(jīng)濟損失。對于普通用戶來說，基本觀念是在計算機系統(tǒng)中部署病毒防火墻和網(wǎng)絡防火墻，例如360、火絨、瑞星等廠商安全產(chǎn)品。從安全漏洞產(chǎn)生原理和安全防護軟件運行機制來分析，這種方式是遠遠不夠。例如，當漏洞不是出現(xiàn)在常見操作系統(tǒng)和基礎軟件上，而是發(fā)生在私有化部署或定制開發(fā)軟件系統(tǒng)中，漏洞原因是中間件的缺陷或業(yè)務代碼邏輯存在問題，這種漏洞并不包含觸發(fā)病毒防護軟件或網(wǎng)絡防護軟件特征值，所以無法被這類安全軟件及時發(fā)現(xiàn)。同時，安全漏洞產(chǎn)生是一個動態(tài)過程，隨著軟件運行時間推移，當前沒有漏洞軟件系統(tǒng)，在遠期依然可能會因為操作系統(tǒng)、基礎軟件、網(wǎng)絡結構等外部環(huán)境變化而出現(xiàn)新漏洞。所以，在軟件從生產(chǎn)到運維完整生命周期過程中，軟件安全漏洞檢測工作都是一項綜合的、專屬的、持續(xù)性工作，這樣才能防患于未然，盡快采取修補措施，避免發(fā)生安全事件。

二 軟件安全漏洞檢測技術

1代碼分析檢測

代碼分析檢測對象是計算機軟件源程序代碼。對于國內(nèi)大多數(shù)應用軟件，如果對軟件安全性要求較高，可以采用代碼分析檢測方式來查找漏洞。代碼分析首先使用專用分析軟件，通過源代碼靜態(tài)分析技術對軟件程序代碼進行自動化分析，檢查程序中不符合安全規(guī)則文件引用、命名規(guī)則、函數(shù)、堆棧調(diào)用等風險點，結合已經(jīng)公布安全信息庫，從代碼層面發(fā)現(xiàn)軟件中可能存在安全缺陷位置。

對于無法獲得程序代碼軟件，更高級分析檢測方法是對軟件進行逆向工程。例如使用Java和.NET技術開發(fā)軟件，如果未采取有效保護措施，可以通過反編譯方法獲得程序代碼。即使無法進行反編譯，也可以使用類似IDA這樣專用軟件進行反匯編，針對匯編語言進行分析。

2動態(tài)掃描檢測

由于計算機軟件在運行時是動態(tài)變化，代碼分析方法是根據(jù)已知規(guī)則進行比對分析，未考慮軟件外部運行環(huán)境因素，以及使用過程中人為干預情況，因此這種方法不能發(fā)現(xiàn)軟件程序運行過程中安全漏洞。所以，需要在軟件運行過程中對軟件行為以及軟件運行整體環(huán)境進行動態(tài)掃描分析，從而發(fā)現(xiàn)軟件在運行狀態(tài)下才能暴露出來漏洞。動態(tài)掃描檢測基本原理是模擬黑客攻擊過程，對軟件系統(tǒng)進行目標探測、狀態(tài)掃描、漏洞分析和滲透攻擊等操作，發(fā)現(xiàn)軟件運行中潛在風險。

隨著網(wǎng)絡應用快速發(fā)展，軟件系統(tǒng)動態(tài)掃描檢測技術方法已經(jīng)非常成熟，已經(jīng)有多種方法可以完成各階段掃描任務。通過目標探測，可以發(fā)現(xiàn)軟件系統(tǒng)中對外提供服務主機地址和端口;通過狀態(tài)掃描，可以發(fā)現(xiàn)軟件系統(tǒng)運行環(huán)境、運行狀態(tài)等信息;通過漏洞分析，可以發(fā)現(xiàn)軟件系統(tǒng)和運行環(huán)境中可能存在安全漏洞;通過滲透攻擊，可以用已知攻擊手段對軟件進行破壞性嘗試。動態(tài)掃描檢測發(fā)現(xiàn)安全漏洞，就是軟件系統(tǒng)運行過程中安全薄弱點，也極有可能是黑客攻擊入侵點，通過對這些薄弱點進行修復，可以極大提高軟件安全性。

三 安全漏洞檢測技術應用

1漏洞掃描

漏洞掃描是安全檢測中最基本檢測技術。一般漏洞掃描是由安全管理人員使用漏洞掃描設備對固定范圍內(nèi)主機和網(wǎng)絡設備進行探測分析，根據(jù)探測獲取反饋信息與設備廠商漏洞信息庫進行對比，對發(fā)現(xiàn)潛在威脅匯總報告。安全管理人員根據(jù)報告采取修補措施。在沒有漏洞掃描設備情況下，很多漏洞掃描工具也可以達到同樣效果，甚至在專項掃描方面，更為準確。

2滲透測試

隨著互聯(lián)網(wǎng)和智能終端普及，現(xiàn)在軟件系統(tǒng)多數(shù)采用網(wǎng)絡架構，以Web方式設計實現(xiàn)。滲透測試是解決網(wǎng)絡應用系統(tǒng)安全檢測最有效方法。滲透測試是出于保護系統(tǒng)目的，以模擬入侵方式來發(fā)現(xiàn)測試對象安全隱患。滲透測試目標通常包括主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)、網(wǎng)絡設備。滲透測試過程一般包括信息采集分析、威脅規(guī)則建模、漏洞探測分析、滲透攻擊驗證、修補方案制定等幾個步驟。滲透測試是一個非常專業(yè)化過程，需要專業(yè)安全分析人員實施，不是簡單使用工具軟件就可以進行。在針對Web開發(fā)中常見SQL注入、跨站式攻擊、驗證碼破解、弱口令等問題，人工干預效果更明顯。

3網(wǎng)絡劫持

因為基于網(wǎng)絡軟件系統(tǒng)在運行狀態(tài)下涉及網(wǎng)絡環(huán)節(jié)比較多，從終端瀏覽器到服務器入口通訊過程中，對網(wǎng)絡環(huán)境干預，也可能會產(chǎn)生軟件漏洞。例如在軟件系統(tǒng)中經(jīng)常使用http協(xié)議，ftp協(xié)議，pop3協(xié)議，對數(shù)據(jù)都是明文傳輸，客戶端和服務器之間任何環(huán)節(jié)對數(shù)據(jù)劫持，都會造成信息泄露風險。即使使用加密方式，也存在中間人攻擊可能。對于軟件將部分邏輯前置于瀏覽器內(nèi)情況，通過JS篡改等方法，依然可以獲取交互信息，甚至影響操作結果。

四 結語

隨著網(wǎng)絡信息安全在國家、社會中影響越來越大，計算機軟件安全漏洞檢測技術也備受關注。雖然軟件安全漏洞檢測方法可能滯后于漏洞發(fā)布，但是在安全威脅大規(guī)模爆發(fā)之前，依然存在修復漏洞關鍵時期。從發(fā)展角度看，安全漏洞是客觀存在，漏洞檢測工作應從本質(zhì)出發(fā)，貫穿軟件從生產(chǎn)到運維全過程，在不同軟件生命周期中，合理采用多種漏洞檢測技術，并形成長效運行機制，制定風險預案，才能真正避免安全事件發(fā)生，實現(xiàn)計算機軟件行業(yè)健康發(fā)展。

參考文獻：

[1]張魏.計算機軟件安全漏洞檢測分析[J].數(shù)碼世界，2018（03）：113.

[2]鄭宜錕.計算機軟件中安全漏洞檢測技術及其應用[J].計算機產(chǎn)品與流通，2018（01）：32.

3216501908246