本发明专利技术公开了一种服务器端软件的安全测试方法和系统,涉及端软件安全测试技术领域,采用黑盒测试目标软件的功能模块是否有效,生成功能验证报告;功能验证是采用软件测试当中的黑盒测试方法,对涉及目标软件安全的模块进行测试。使用漏洞扫描器自动检测远程或本地主机中目标软件的安全性弱点的程序,生成漏洞扫描报告;通过使用漏洞扫描器,系统管理员能够发现所维护软件产品存在的安全漏洞,从而在软件产品中做到“有的放矢”,及时修补漏洞。模拟攻击目标软件,生成模拟攻击报告;以模拟攻击来验证软件或信息系统的安全防护能力。根据功能验证报告、漏洞扫描报告和模拟攻击报告评估目标软件的安全性。提高了检测效率以及准确率。率。率。
【技术实现步骤摘要】
一种服务器端软件的安全测试方法和系统
[0001]本专利技术涉及软件安全测试
,具体而言,涉及一种服务器端软件的安全测试方法和系统。
技术介绍
[0002]软件安全性测试是检验软件中已存在的软件安全措施是否有效的测试,是保证系统安全性的重要手段。随着软件应用领域的日益广泛,及在重要领域如航空、核工业、医疗等的软件事故的发生,软件安全问题也越来越受到重视。软件安全性测试可以分为安全功能测试和安全漏洞测试两个方面。安全功能测试是在软件的需求分析阶段就定制软件的安全功能需求,明确软件的安全功能,在软件的验收阶段测试软件的相关功能实现与否。软件主要的安全性功能需求包括数据的私密性和完整性、访问控制、安全管理等。安全漏洞是指软件系统中存在的可被恶意代码或外来攻击利用的缺陷,目前的代码审查工具就是针对此类测试。目前国内进行的软件安全性测试,基本上都是通过使用工具进行基础的扫描,可检测的漏洞范围受限,与本行业的安全规则适用性限制,检测结果的效率和准确率参差不齐。
技术实现思路
[0003]为了克服上述问题或者至少部分地解决上述问题,本专利技术实施例提供一种服务器端软件的安全测试方法和系统。
[0004]本专利技术的实施例是这样实现的:
[0005]第一方面,本专利技术实施例提供一种服务器端软件的安全测试方法,包括:
[0006]采用黑盒测试目标软件的功能模块是否有效,生成功能验证报告;
[0007]使用漏洞扫描器自动检测远程或本地主机中目标软件的安全性弱点的程序,生成漏洞扫描报告;
[0008]模拟攻击目标软件,生成模拟攻击报告;
[0009]根据功能验证报告、漏洞扫描报告和模拟攻击报告评估目标软件的安全性。
[0010]基于第一方面,在本专利技术的一些实施例中,上述模拟攻击目标软件包括:
[0011]冒充成具有特权的实体攻击目标软件。
[0012]基于第一方面,在本专利技术的一些实施例中,上述冒充成具有特权的实体攻击目标软件的方法包括以下的一种或多种方法:
[0013]截获鉴别序列,在一个有效的鉴别序列使用过一次后再次对目标软件进行使用;
[0014]识别搭载目标软件的主机,获取基于NetBIOS、Telnet或NFS服务的可利用的用户帐号,并猜测出口令,以对搭载目标软件的主机进行控制;
[0015]编写恶意程序来进一步打开安全缺口,然后将恶意程序放在缓冲区有效载荷末尾,当发生缓冲区溢出时,返回指针指向恶意程序,执行恶意指令,就可以得到系统的控制权。
[0016]基于第一方面,在本专利技术的一些实施例中,上述模拟攻击目标软件还包括:
[0017]DNS服务器与其他名称服务器交换信息的时候加入不正确得信息导致非授权后果。
[0018]基于第一方面,在本专利技术的一些实施例中,上述模拟攻击目标软件还包括:
[0019]将产生畸形的、声称自己的尺寸超过ICMP上限的包,导致TCP/IP堆栈崩溃,致使接受方宕机。
[0020]基于第一方面,在本专利技术的一些实施例中,上述功能模块包括:
[0021]用户管理模块、权限管理模块、加密模块、认证模块中的一种或多种。
[0022]基于第一方面,在本专利技术的一些实施例中,上述漏洞扫描器包括主机漏洞扫描器和网络漏洞扫描器,上述主机漏洞扫描器用于在本地主机运行检测目标软件的安全性弱点的第一程序;上述网络漏洞扫描器用于基于网络远程检测目标软件的安全性弱点的第二程序。
[0023]第二方面,本专利技术实施例提供一种服务器端软件的安全测试系统,包括:
[0024]功能验证模块,用于采用黑盒测试目标软件的功能模块是否有效,生成功能验证报告;
[0025]漏洞扫描模块,用于使用漏洞扫描器自动检测远程或本地主机中目标软件的安全性弱点的程序,生成漏洞扫描报告;
[0026]模拟攻击模块,用于模拟攻击目标软件,生成模拟攻击报告;
[0027]评估模块,用于根据功能验证报告、漏洞扫描报告和模拟攻击报告评估目标软件的安全性。
[0028]第三方面,本专利技术实施例提供一种电子设备,包括:
[0029]至少一个处理器、至少一个存储器和数据总线;其中:上述处理器与上述存储器通过上述数据总线完成相互间的通信;上述存储器存储有可被上述处理器执行的程序指令,上述处理器调用上述程序指令以执行上述的方法。
[0030]第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,上述非暂态计算机可读存储介质存储计算机程序,上述计算机程序使上述计算机执行如上述的方法。
[0031]本专利技术实施例至少具有如下优点或有益效果:
[0032]采用黑盒测试目标软件的功能模块是否有效,生成功能验证报告;功能验证是采用软件测试当中的黑盒测试方法,对涉及目标软件安全的模块进行测试,如:用户管理模块,权限管理模块,加密系统,认证系统等进行测试,主要验证上述模块是否有效,具体方法可使用黑盒测试方法。使用漏洞扫描器自动检测远程或本地主机中目标软件的安全性弱点的程序,生成漏洞扫描报告;通过使用漏洞扫描器,系统管理员能够发现所维护软件产品存在的安全漏洞,从而在软件产品中做到“有的放矢”,及时修补漏洞。安全漏洞扫描是可以用于日常安全防护,同时可以作为对软件产品或进行测试的手段,可以在安全漏洞造成严重危害前,发现漏洞并加以防范。模拟攻击目标软件,生成模拟攻击报告;以模拟攻击来验证软件或信息系统的安全防护能力。根据功能验证报告、漏洞扫描报告和模拟攻击报告评估目标软件的安全性。提高了检测效率以及准确率。
附图说明
[0033]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附
图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0034]图1为本专利技术一种服务器端软件的安全测试方法一实施例的流程图;
[0035]图2为本专利技术一种服务器端软件的安全测试系统一实施例的结构框图;
[0036]图3为本专利技术一种电子设备的结构示意图。
[0037]图标:1、功能验证模块;2、漏洞扫描模块;3、模拟攻击模块;4、评估模块;5、处理器;6、存储器;7、数据总线。
具体实施方式
[0038]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。
[0039]因此,以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围,而是仅仅表示本专利技术的选定实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种服务器端软件的安全测试方法,其特征在于,包括:采用黑盒测试目标软件的功能模块是否有效,生成功能验证报告;使用漏洞扫描器自动检测远程或本地主机中目标软件的安全性弱点的程序,生成漏洞扫描报告;模拟攻击目标软件,生成模拟攻击报告;根据功能验证报告、漏洞扫描报告和模拟攻击报告评估目标软件的安全性。2.根据权利要求1所述的一种服务器端软件的安全测试方法,其特征在于,所述模拟攻击目标软件包括:冒充成具有特权的实体攻击目标软件。3.根据权利要求2所述的一种服务器端软件的安全测试方法,其特征在于,所述冒充成具有特权的实体攻击目标软件的方法包括以下的一种或多种方法:截获鉴别序列,在一个有效的鉴别序列使用过一次后再次对目标软件进行使用;识别搭载目标软件的主机,获取基于NetBIOS、Telnet或NFS服务的可利用的用户帐号,并猜测出口令,以对搭载目标软件的主机进行控制;编写恶意程序来进一步打开安全缺口,然后将恶意程序放在缓冲区有效载荷末尾,当发生缓冲区溢出时,返回指针指向恶意程序,执行恶意指令,就可以得到系统的控制权。4.根据权利要求1所述的一种服务器端软件的安全测试方法,其特征在于,所述模拟攻击目标软件还包括:DNS服务器与其他名称服务器交换信息的时候加入不正确得信息导致非授权后果。5.根据权利要求1所述的一种服务器端软件的安全测试方法,其特征在于,所述模拟攻击目标软件还包括:将产生畸形的、声称自己的尺寸超过ICMP上限的包,导致...
【专利技术属性】
技术研发人员:康剑萍,
申请(专利权)人:康剑萍,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。