[发明专利]一种服务器端软件的安全测试方法和系统

权利要求书

1.一种服务器端软件的安全测试方法，其特征在于，包括：

采用黑盒测试目标软件的功能模块是否有效，生成功能验证报告；

使用漏洞扫描器自动检测远程或本地主机中目标软件的安全性弱点的程序，生成漏洞扫描报告；

模拟攻击目标软件，生成模拟攻击报告；

根据功能验证报告、漏洞扫描报告和模拟攻击报告评估目标软件的安全性。

2.根据权利要求1所述的一种服务器端软件的安全测试方法，其特征在于，所述模拟攻击目标软件包括：

冒充成具有特权的实体攻击目标软件。

3.根据权利要求2所述的一种服务器端软件的安全测试方法，其特征在于，所述冒充成具有特权的实体攻击目标软件的方法包括以下的一种或多种方法：

截获鉴别序列，在一个有效的鉴别序列使用过一次后再次对目标软件进行使用；

识别搭载目标软件的主机，获取基于NetBIOS、Telnet或NFS服务的可利用的用户帐号，并猜测出口令，以对搭载目标软件的主机进行控制；

编写恶意程序来进一步打开安全缺口，然后将恶意程序放在缓冲区有效载荷末尾，当发生缓冲区溢出时，返回指针指向恶意程序，执行恶意指令，就可以得到系统的控制权。

4.根据权利要求1所述的一种服务器端软件的安全测试方法，其特征在于，所述模拟攻击目标软件还包括：

DNS服务器与其他名称服务器交换信息的时候加入不正确得信息导致非授权后果。

5.根据权利要求1所述的一种服务器端软件的安全测试方法，其特征在于，所述模拟攻击目标软件还包括：

将产生畸形的、声称自己的尺寸超过ICMP上限的包，导致TCP/IP堆栈崩溃，致使接受方宕机。

6.根据权利要求1所述的一种服务器端软件的安全测试方法，其特征在于，所述功能模块包括：

用户管理模块、权限管理模块、加密模块、认证模块中的一种或多种。

7.根据权利要求1所述的一种服务器端软件的安全测试方法，其特征在于，

所述漏洞扫描器包括主机漏洞扫描器和网络漏洞扫描器，所述主机漏洞扫描器用于在本地主机运行检测目标软件的安全性弱点的第一程序；所述网络漏洞扫描器用于基于网络远程检测目标软件的安全性弱点的第二程序。

8.一种服务器端软件的安全测试系统，其特征在于，包括：

功能验证模块，用于采用黑盒测试目标软件的功能模块是否有效，生成功能验证报告；

漏洞扫描模块，用于使用漏洞扫描器自动检测远程或本地主机中目标软件的安全性弱点的程序，生成漏洞扫描报告；

模拟攻击模块，用于模拟攻击目标软件，生成模拟攻击报告；

评估模块，用于根据功能验证报告、漏洞扫描报告和模拟攻击报告评估目标软件的安全性。

9.一种电子设备，其特征在于，包括：

至少一个处理器、至少一个存储器和数据总线；其中：

所述处理器与所述存储器通过所述数据总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令以执行如权利要求1至7任一所述的方法。

10.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机程序，所述计算机程序使所述计算机执行如权利要求1至7任一所述的方法。