软件潜在安全性缺陷测试案例的研究及思考

doi:10.3969/j.issn.1671-1122.2015.05.014

摘要/Abstract

摘要：

软件测试是能力成熟度模型集成（capability maturity model integration,CMMI）中验证（verification,Ver）与确认（validation,Val）过程域的重要表现形式,是保障软件可靠性的重要手段。近年来,随着软件规模和复杂程度的不断提高,软件测试技术也不断发展,然而程序设计语言本身固有的特性以及开发人员在编程时没有考虑周全使得许多漏洞无法在编译、运行乃至测试阶段发现,这些缺陷通过输入验证错误、访问验证错误、设计错误、特殊条件错误和竞争条件错误等方式在不导致系统崩溃的情况下,可以通过篡改系统用户权限的形式威胁系统安全。文章通过对软件测试中易被忽略的软件潜在安全性缺陷的研究,总结出开发过程中常碰到的软件潜在安全性缺陷的表现形式,并通过具体代码实例的故障分析及解决措施,清晰、直观地给出具有潜在安全性缺陷的代码特征,增强了开发人员及测试人员对此类问题的认识,对提高软件可靠性具有积极意义。

关键词: 软件测试, 软件能力成熟度模型集成, 软件潜在安全性缺陷, 软件可靠性

Abstract:

Software testing is a very important activity in the verification and validation process of Capability Maturity Model Integration (CMMI), is the important means to guarantee the reliability of the software. In recent years, with the continuous improvement of software scale and complexity, software testing technology is also growing, but programming language itself inherent characteristics and developers in programming without thoughtful prevented many loopholes in compile, run and test phase, found that the defects by input validation, access validation errors, design errors, special conditions and competition conditions of errors in the circumstance that does not result in system crash, can tamper with the system user permissions in the form of a threat to system security. Through analyzing the potential security flaw which are neglected on software test, methods and preventive measure for solving them are summed up. Through giving the specific code features of this kind of defect, software developers’ awareness on the problem is enhanced. They have a positive significance to the reliability of the software.

Key words: software test, software capability maturity model integration, the potential security flaw, the reliability of the software

中图分类号:

TP309

冯济舟, 田明辉. 软件潜在安全性缺陷测试案例的研究及思考[J]. 信息网络安全, 2015, 15(6): 85-90.

FENG Ji-zhou, TIAN Ming-hui. Research on the Software Security Testing for Potential Defects[J]. Netinfo Security, 2015, 15(6): 85-90.

参考文献 54

[1]	万江平,孔学东,杨建梅.集成能力成熟度模型(CMMI)的研究[J].计算机应用研究, 2001,(10):10-11.
[2]	李兴兵,李孟军,谭跃进.军用CMMI模型的建立初探[J].兵工自动化, 2003,(6):4-5.
[3]	冯亚娜, 孟庆川, 李志刚, 等.基于CMMI模型的软件本地化测试[J],信息技术, 2013,(9):182.
[4]	熊才权, 吴铁洲, 曾玲.基于CMMI的软件测试过程改进研究[J],湖北工学院学报, 2005,(1):55.
[5]	朱瑞志, 张忠能, 田小鹏.基于CMMI的软件测试流程[J],计算机工程,2004,(S1):35.
[6]	单锦辉,姜瑛,孙萍.软件测试研究进展[J],北京大学学报(自然科学版), 2005,(1):134-135.
[7]	董威. 基于CMM的软件测试技术及其应用[D].上海:华东师范大学,2006.
[8]	于秀山,于洪敏.软件测试新技术与实践[M].北京:电子工业出版社,2006.
[9]	万年红,李翔.软件黑盒测试的方法与实践[J].计算机工程,2000,(12):91.
[10]	张磊, 周继锋, 张强.系统软件可靠性验证测试方法研究[J],计算机与数字工程,2010,(6):86.
[11]	张飞云,彭小晖,李长福.软件可靠性测试充分性工程技术研究[J],质量与可靠性,2003,(5):49-52.
[12]	高超. 安全级软件验证与确认中测试技术研究[D].上海:上海交通大学,2010:1-6.
[13]	高月, 梁成才, 王川, 等. 软件验证与确认在MIS开发中的应用[J],计算机工程, 2011,(1):84.
[14]	王锋华. 航空类软件测试方法的研究与实施[D].北京:北京邮电大学,2008.
[15]	李雨军,李淼.软件测试技术探讨[J]. 现代经济信息, 2010,(07):169.
[16]	邓伟伟,管群.国内软件测试现状分析及对策[J].电脑知识与技术, 2009,(34).
[17]	池万乐. 软件测试技术的应用[J]. 电脑知识与技术,2006,(08):123.
[18]	蔡建平. 软件可靠性测试方法新探[J]. 计算机工程与设计, 2009,(20):4658.
[19]	夏一民. 缓冲区溢出漏洞的静态检测方法研究[D].长沙:国防科学技术大学,2007.
[20]	陆瑶. 软件注入故障的跟踪及其响应分析研究[J].信息与电脑(理论版), 2011,(1):36.
[21]	覃志东, 雷航, 桑楠, 等. 安全关键软件可靠性验证测试方法研究[J].航空学报, 2005,(3):334.
[22]	马瑞芳, 王会燃.计算机软件测试方法的研究[J].小型微型计算机系统, 2003,(12):2210.
[23]	高月,梁成才,王川,等. 软件验证与确认在MIS开发中的应用[J].计算机工程,2011,(1):84.
[24]	史飞悦,傅德胜 . 缓冲区溢出漏洞挖掘分析及利用的研究[J].计算机科学, 2013,(11):143.
[25]	杨小龙,刘坚. C/C++源程序缓冲区溢出漏洞的静态检测[J].计算机工程与应用,2004,(20):108-110.
[26]	高传平,赵利军,谈利群.缓冲区溢出的软件安全性测试技术研究[J].信息网络安全, 2012,(8):182.
[27]	袁振宇. 编写安全代码应对软件溢出漏洞根本方法[J].内江科技,2012, (2):141.
[28]	景娟娟,张建利,闫小瑞.浅析缓冲区溢出漏洞的研究与发展[J].电子世界,2013,(14):59.
[29]	李学忠 .缓冲区溢出攻击的分析及防范措施[J],电子工艺技术, 2005,(5):298.
[30]	曾凤. 缓冲区溢出攻击的防范策略[J],微电子学与计算机,2005,(9):51.
[31]	郭卫兴, 刘摘旭, 吴灏 .代码的安全性保护技术研究[J],计算机工程与设计, 2007,(2):307.
[32]	林锦滨. 版本间语义分析制导的程序逆向静态分析[D].合肥: 中国科学技术大学,2010.
[33]	曾凡平. 软件漏洞测试若干问题研究[D].合肥:中国科学技术大学, 2011:9.
[34]	关通,任馥荔,文伟平,等. 基于Windows的软件安全典型漏洞利用策略探索与实践[J]. 信息网络安全. 2014,(11):59-65.
[35]	吴迪. 基于加权相似度的序列聚类算法研究[D]. 秦皇岛:燕山大学,2014.
[36]	王妍妍. 基于序列聚类的软件漏洞检测方法研究[D]. 秦皇岛:燕山大学,2012.
[37]	曾强. 面向软件漏洞的挖掘方法研究[D]. 秦皇岛:燕山大学,2014.
[38]	张晖. 计算机软件中安全漏洞检测技术及其应用[J]. 电子世界. 2014,(18):316.
[39]	张灿.数据挖掘技术在软件工程中的应用综述[J]. 信息通信. 2014,(11)12-14.
[40]	王琦.计算机网络应用中的泄密隐患防范研究[J]. 电子世界. 2014,(14)135.
[41]	刘越. 计算机软件的日常管理及其维护策略分析[J]. 硅谷. 2015,(4):112-113.
[42]	张媛媛. 在软件漏洞中基于位向量的数据流频繁模式挖掘算法研究[D]. 秦皇岛:燕山大学, 2012.
[43]	陈卓. 强化计算机安全管理的相关探索[J]. 计算机光盘软件与应用. 2015,(1):18-19.
[44]	张建莉.计算机网络安全防御探究[J]. 农业网络信息. 2014,(11)36-38.
[45]	张灿.数据挖掘技术在软件工程中的应用综述[J]. 信息通信. 2014,(11)1-6.
[46]	李洁. 档案数字化外包安全管理探析[J]. 档案天地. 2014,(13):39-41.
[47]	毛立强. 基于模糊测试和频谱错误定位的自动化软件测试研究[D]. 大连:大连交通大学, 2014.
[48]	苟孟洛. Windows平台下基于FUZZ技术的软件漏洞挖掘与利用研究[D]. 成都:成都理工大学 ,2014.
[49]	陈登曦. 软件漏洞分析中含时间间隔的加权序列模式算法研究[D]. 秦皇岛:燕山大学,2013.
[50]	韩高伟. 基于前缀序列树的数据流序列模式算法研究[D]. 秦皇岛:燕山大学, 2013.
[51]	乔航. 无线智能移动终端的软件漏洞分析及发现技术研究[D]. 成都:电子科技大学,2012.
[52]	丁澄天. 可控僵尸网络模拟平台的研究与实现[D]. 成都:电子科技大学,2012.
[53]	李玉青. 校园信息安全及组网策略研究[D]. 石家庄:河北师范大学,2012.
[54]	解玉洁. 基于树结构的精简序列模式挖掘算法研究[D].秦皇岛: 燕山大学,2010.