浅析安全检测技术在计算机软件中的应用.pdfVIP

科学进步 浅析安全检测技术在计算机软件中的应用 石 琳 (哈尔滨铁道职业技术学院，黑龙江 哈尔滨 150086) 摘 要：计算机软件的安全检测在开发及运用过程中，是其不可忽略的一个重要环节。安全检测的目的是发现软件运行时出现的故障，然后针对其隐 藏的风险进行修补。以保证软件的正常运行。但是 目前的计算机检测技术无法完全避免错误和漏洞的出现，不能保证软件绝对是安全的。本文针对安全检 测技术应用中的问题和方法，进行了详细的剖析。 关键词：计算机软件；安全检测；方法 1计算机软件存在的漏洞和风险 数据库连接的软件系统来说，可以简单地把程序的作用看作是：把用户输 1．1软件加密不可靠 入的数据通过 SQL命令请求后台数据库，数据库把请求的数据返回给程 加密主要存有以下弱点：(1)加密算法不够严密，容易被破解；(2)加密 序的界面层展示给用户。可以把SQLServer自带的工具事件探查器当成是 锁受处理能力的限制，无法为软件提供强有力的保护；(3)数据签名工作做 一 个检查SQL数据传输的精密仪器，它可以记录软件客户端与服务器数 得不好，数据常常被攻击者更改。因此，在对软件进行安全测试时，要重点 据库之间交互的所有举动，测试人员能清楚地知道软件究竟发挥了什么作 测试软件的加密弱点。 用。白盒测试的优点在于它能帮助测试人员熟悉代码的每条路径，检查出 1．2错误处理。一般来说，错误处理会返回部分信息给软件使用者。在 藏于代码中的错误。但是它也有缺点 那就是测试成本高，无法检测代码 巾 这个过程 中，如果调用了一些不该有的功能，那么这些信息就有可能被其 遗漏的路径和数据敏感性错误。 他人利用，一些黑客甚至会通过分析这类错误信息来制定攻击策略。 2．5灰盒测试方法。灰盒测试综合了白盒测试和黑盒测试的特点。主要 1_3权限设置问题。一般来说，在对软件进行设计时，要分权限 在软件 表现为：它既要检测输出、输入是否正确，又要关注程序 内部运行状态。如 中分配操作员的权限，可以规划操作员的操作权限，可以使操作人员在工 有时输出是正确的，但 内部早已出现了错误，如果采用 白盒测试方法来测 作 中只能操作他权力范围内的工作内容，出现 问题可以找到负责人 。但是 试，效率会非常低，在此种情况下，就需要采取灰盒测试方法。与黑、白盒测 如果赋予的权限过大，那么操作人员就很可能越过权限去做一些危害安全 试方法相比，灰盒测试有以下几个特点：(1利用灰盒测试方法，测试人员 的操作 。权限过大是设计空问过大造成的。因此，测试人员在测试应用程序 能更为全面地了解软件产品；(2)与 白盒测试相比．灰盒测试因为程序代码 的权限时，应注意检查设计空间的大小。 的改变而导致用例无效的几率更低；(3)与 白盒测试相比，灰盒测试方法需 2常用的安全检测方法 要测试人员去了解程序 的代码逻辑 。利用灰盒测试方法进行测试需要注意 2．1渗透测试。渗透测试其本质是 以测试工具为辅，凭借测试人员的攻 以下几点问题：(1)灰盒测试是从软件的整体 出发的。因此，测试人员在进 防能力和经验，模拟黑客攻击的过程，提前发现软件存在的问题，并及时地 行测试设计时，要从软件的整体出发：(2)将灰盒测试用于单元测试，而非 予以更正。它的优点在于：它能站在攻击方的角度，深度挖掘软件 中存在 的 集成测试；(3)灰盒测试方法需要测试人员深入 了解产品的代码逻辑。因 安全漏洞，一般发现的问题都是真实存在且极为严重的。但也正因为这样 ， 此，在测试时，业务逻辑图是非常重要的，测试人员需要按照业务逻辑图来 测试人员在选取测试工具时，要格~l-d,心，尽量选择可控制、不具备攻击性 划分功能点，并扩展用例。 的工具。因为如果选择不当，将会导致病毒和木马的入侵和扩散，给整个系 结束语 统的运行带来不利影响。此外，渗透测试还存在一些缺点：它的成果大多取