[发明专利]一种服务器端软件的安全测试方法和系统

说明书

本发明公开了一种服务器端软件的安全测试方法和系统，涉及端软件安全测试技术领域，采用黑盒测试目标软件的功能模块是否有效，生成功能验证报告；功能验证是采用软件测试当中的黑盒测试方法，对涉及目标软件安全的模块进行测试。使用漏洞扫描器自动检测远程或本地主机中目标软件的安全性弱点的程序，生成漏洞扫描报告；通过使用漏洞扫描器，系统管理员能够发现所维护软件产品存在的安全漏洞，从而在软件产品中做到“有的放矢”，及时修补漏洞。模拟攻击目标软件，生成模拟攻击报告；以模拟攻击来验证软件或信息系统的安全防护能力。根据功能验证报告、漏洞扫描报告和模拟攻击报告评估目标软件的安全性。提高了检测效率以及准确率。

技术领域

本发明涉及软件安全测试技术领域，具体而言，涉及一种服务器端软件的安全测试方法和系统。

背景技术

软件安全性测试是检验软件中已存在的软件安全措施是否有效的测试，是保证系统安全性的重要手段。随着软件应用领域的日益广泛，及在重要领域如航空、核工业、医疗等的软件事故的发生，软件安全问题也越来越受到重视。软件安全性测试可以分为安全功能测试和安全漏洞测试两个方面。安全功能测试是在软件的需求分析阶段就定制软件的安全功能需求，明确软件的安全功能，在软件的验收阶段测试软件的相关功能实现与否。软件主要的安全性功能需求包括数据的私密性和完整性、访问控制、安全管理等。安全漏洞是指软件系统中存在的可被恶意代码或外来攻击利用的缺陷，目前的代码审查工具就是针对此类测试。目前国内进行的软件安全性测试，基本上都是通过使用工具进行基础的扫描，可检测的漏洞范围受限，与本行业的安全规则适用性限制，检测结果的效率和准确率参差不齐。

发明内容

为了克服上述问题或者至少部分地解决上述问题，本发明实施例提供一种服务器端软件的安全测试方法和系统。

本发明的实施例是这样实现的：

第一方面，本发明实施例提供一种服务器端软件的安全测试方法，包括：

采用黑盒测试目标软件的功能模块是否有效，生成功能验证报告；

使用漏洞扫描器自动检测远程或本地主机中目标软件的安全性弱点的程序，生成漏洞扫描报告；

模拟攻击目标软件，生成模拟攻击报告；

根据功能验证报告、漏洞扫描报告和模拟攻击报告评估目标软件的安全性。

基于第一方面，在本发明的一些实施例中，上述模拟攻击目标软件包括：

冒充成具有特权的实体攻击目标软件。

基于第一方面，在本发明的一些实施例中，上述冒充成具有特权的实体攻击目标软件的方法包括以下的一种或多种方法：

截获鉴别序列，在一个有效的鉴别序列使用过一次后再次对目标软件进行使用；

识别搭载目标软件的主机，获取基于NetBIOS、Telnet或NFS服务的可利用的用户帐号，并猜测出口令，以对搭载目标软件的主机进行控制；

编写恶意程序来进一步打开安全缺口，然后将恶意程序放在缓冲区有效载荷末尾，当发生缓冲区溢出时，返回指针指向恶意程序，执行恶意指令，就可以得到系统的控制权。

基于第一方面，在本发明的一些实施例中，上述模拟攻击目标软件还包括：

DNS服务器与其他名称服务器交换信息的时候加入不正确得信息导致非授权后果。

基于第一方面，在本发明的一些实施例中，上述模拟攻击目标软件还包括：

将产生畸形的、声称自己的尺寸超过ICMP上限的包，导致TCP/IP堆栈崩溃，致使接受方宕机。

基于第一方面，在本发明的一些实施例中，上述功能模块包括：