軟件安全測試技術和工具的研究

張蕾

摘 要：軟件在給人類快速普及和帶來便利的同時，軟件安全漏洞的存在也會對公司和個人造成重大經濟損失，甚至危害到人身安全。本文針對不同的測試對象、源代碼、移動APP和web，分別介紹對應的測試方法和工具。

關鍵詞：安全測試；源代碼；移動APP安全；web安全；測試工具

中圖分類號：TP311 文獻標識碼：A

0.引言

在軟件行業快速發展的同時，安全測試逐漸得到人們的重視。根據測試對象的不同，安全測試也需要采用不同的方法。本文重點介紹適用于源代碼、移動APP和web的安全測試方法和工具。

1.源代碼安全測試

靜態分析技術在安全審計方面有著舉足輕重的地位，代碼級安全的實質就是要保護信息系統或信息網絡中的信息資源從最底層免受各種類型的威脅、干擾和破壞。目前源代碼靜態掃描工具有Its4、Rats、Flawfinder、Splint、Cppcheck等，這里簡要介紹下fortify工具。

Fortify SCA 是一個靜態的、白盒的軟件源代碼安全測試工具。它通過內置的五大主要分析引擎：數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態的分析，分析的過程中與它特有的軟件安全漏洞規則集進行全面地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并給予整理報告。

Fortify源代碼掃描結果如圖1所示。

2.移動APP安全測試

隨著移動應用軟件的快速發展，惡意軟件和病毒等方面的安全事件也大幅增長。針對移動APP的安全測試包括：安裝包測試、敏感信息測試、軟鍵盤劫持、賬戶安全、數據通信安全、組件安全測試、服務器接口。目前流行的移動APP安全測試小工具有dex2jar、jd_gui、drozer等。這里介紹一下移動應用風險評估系統MARS。

MARS具備“即插即用、隨時測試、自動流程”的特色，支持現在移動應用的幾種形態：APP、微信公眾號、Web（H5）方式。通過專項測試平臺、android測試終端、ios測試終端，自集成無線網絡測試環境等設備的整合，可以實現一站式全功能覆蓋的移動應用安全性測試。MARS除了對客戶端、通信管道、后臺服務器端進行全面的安全檢測，也可以對用戶的業務操作進行檢測（短信炸彈、驗證碼安全等），大幅度提高移動應用APP安全檢測能力。

MARS報告展示如圖2所示。

3.web安全測試

Web應用安全漏洞分為服務器端漏洞和客戶端漏洞[4]。目前企業組織面臨的最嚴重的Web漏洞包括：注入、失效的身份認證和會話管理、跨站腳本、敏感信息泄露等。Web安全漏洞掃描工具層出不窮，常見的有webinspect、skipfish、w3af、WVS、IBM AppScan等，AppScan工具最為流行。

AppScan是一個在所有級別應用上提供全面糾正任務的工具，提供中文支持。AppScan掃描Web應用的基礎架構，進行安全漏洞測試并提供可行的報告和建議。

AppScan掃描結果如圖3所示。

結語

本文針對源代碼、移動APP和Web三個不同的測試對象，描述了不同的測試方法和適用工具，希望能夠對廣大從業者有所參考。

參考文獻

[1]王斌.基于Fortify SCA的隱通道分析技術的研究與實現[D]. 北京理工大學，2016.

[2]羅琴靈.基于靜態檢測的代碼審計技術研究[D].貴州大學，2015.

[3]邱鵬.移動APP測試實戰[M].北京：機械工業出版社，2015.

[4]索亮.對主流掃描工具漏洞檢測能力的測試與分析[J].信息安全技術，2010（6）：120-128.

[5]張楠.Web應用安全漏洞掃描技術研究[D].浙江大學，2015.