一种软件的自动化测试方法
【技术领域】
[0001]本发明属于计算机控制领域,尤其涉及一种软件的自动化测试方法。
【背景技术】
[0002]软件系统的安全性是信息安全的一个重要组成部分,软件安全性是软件系统除了功能以外的又一需求,一个安全的软件界面需要增加许多安全措施,如口令认证、超时认证等,这样附加的操作界面影响了软件的易用性,一个安全的软件需要对数据进行加密,保证数据传输过程中或达到目的地后不被非授权的人查看修改等,对软件安全的测试就是采用各种方法来验证或发丝按系统方面的问题,如对于软件需求说明书上既定的有关安全的功能要求,进行验证测试,努力地发现没有在软件需求说明书上表明的可能影响系统运行的隐形需求,现有技术存在非法用户未经授权而获得访问系统的权限或者扩大访问权限、利用系统漏洞和常用的攻击手段对系统攻击、不能有效地管理和诊断并检查网络的安全威胁的问题。
【发明内容】
[0003]本发明提供一种软件的自动化测试方法,以解决上述【背景技术】中提出非法用户未经授权而获得访问系统的权限或者扩大访问权限、利用系统漏洞和常用的攻击手段对系统攻击、不能有效地管理和诊断并检查网络的安全威胁的问题。
[0004]本发明所解决的技术问题采用以下技术方案来实现:一种软件的自动化测试方法,所述方法包括:
[0005]a、功能验证步骤;
[0006]b、漏洞扫描步骤:扫描系统漏洞并补救系统漏洞或预先设置防护措施;
[0007]C、模拟攻击步骤:攻击系统漏洞并根据攻击结果评估安全性能;
[0008]d、侦听测试步骤:获取并缓存网络数据包并对所述数据包进行分解或分析;
[0009]进一步,所述功能验证步骤包括黑盒测试或白盒测试或灰盒测试;
[0010]进一步,在漏洞扫描步骤中所述扫描系统漏洞并补救系统漏洞或预先设置防护措施包括:
[0011 ]当拒绝服务漏洞发生时,规避拒绝服务漏洞;
[0012]当本地用户扩权漏洞发生时,设置安全性能高的登陆工具;
[0013]当远程用户扩权漏洞发生时,查找CGI或其他脚本漏洞并删除或规避所述的CGI或其他脚本漏洞,而且禁止S位权限标志。
[0014]进一步,在模拟攻击步骤中所述攻击系统漏洞包括:
[0015]服务拒绝型攻击:包括Smurf攻击;
[0016]漏洞木马型攻击:包括口令猜测、特洛伊木马、缓冲区溢出;
[0017]伪装欺骗型攻击:DNS高速缓存污染、ARP欺骗、IP欺骗;
[0018]进一步,在模拟攻击步骤中所述评估安全性能包括:
[0019]当DNS高速缓存污染攻击成功时,采取在防火墙上过滤入站的DNS更新或取消外部DNS服务器更改内部服务器对内部机器的认识;
[0020]当ARP欺骗攻击成功时,采取的方法包括:
[0021 ] 将网络安全信任关系建立在IP+MAC基础上;
[0022]设置静态的MAC/IP对照表;
[0023]当系统不使用ARP时,禁止ARP服务并将ARP作为永久条目保留在对应表中;
[0024]使用防火墙监控网络;
[0025]当IP欺骗攻击成功时,采取的一种方法包括:
[0026]屏蔽r*远程调用命令的使用;
[0027]删除.rhosts文件;
[0028]清空/etc/hosts.equiv 文件;
[0029]或采取另一种方法:
[0030]采用包过滤方式对网内和网外分别采用不同的信任关系;
[0031]进一步,在侦听测试步骤中获取并缓存网络数据包的位置在网关或路由器或交换机或防火墙处。
[0032]本发明的有益效果为:
[0033]1、本专利采用功能验证步骤,功能验证步骤包括黑盒测试或白盒测试或灰盒测试的技术手段,由于功能验证是对软件需求中确定的有关安全模块的功能进行测试验证,作为网络信息系统自身安全建设的需要,设计者往往会在软件设计和开发过程中增加一些必要的安全防护措施,如权限管理模块,数据加密模块、传输加密模块、数据备份和恢复模块等,对安全的功能验证可以采用与一般的程序功能测试相似的方法来完成来进行测试,因此具有检测系统功能稳定的有益技术效果。
[0034]2、本专利由于采用了漏洞扫描步骤:扫描系统漏洞并补救系统漏洞或预先设置防护措施,在漏洞扫描步骤中所述扫描系统漏洞并补救系统漏洞或预先设置防护措施包括当拒绝服务漏洞发生时,规避拒绝服务漏洞,当本地用户扩权漏洞发生时,设置安全性能高的登陆工具,当远程用户扩权漏洞发生时,查找CGI或其他脚本漏洞并删除或规避所述的CGI或其他脚本漏洞,而且禁止S位权限标志的技术手段,由于漏洞一般是指软件、硬件或策略上的缺陷,在计算机软硬件系统中,没有绝对安全的组件,各种操作系统存在安全楼送,需要不停地打补丁和装PATCH,各种数据库管理系统也醋在安全漏洞,本发明可以有针对性地对信息系统和应用软件的有关漏洞进行扫描,在对发现漏洞进行有效的防范和补救措施,也可以对采取保护措施防止非法这利用已知的漏洞进行攻击,因此,解决了非法用户未经授权而获得访问系统权限或者扩大访问权限的问题。
[0035]3、本专利采用模拟攻击步骤:攻击系统漏洞并根据攻击结果评估安全性能,在漏洞扫描步骤中所述扫描系统漏洞并补救系统漏洞或预先设置防护措施包括当拒绝服务漏洞发生时,规避拒绝服务漏洞,当本地用户扩权漏洞发生时,设置安全性能高的登陆工具,当远程用户扩权漏洞发生时,查找CGI或其他脚本漏洞并删除或规避所述的CGI或其他脚本漏洞,而且禁止S位权限标志。在模拟攻击步骤中所述攻击系统漏洞包括服务拒绝型攻击:包括Smurf攻击;漏洞木马型攻击:包括口令猜测、特洛伊木马、缓冲区溢出;伪装欺骗型攻击:DNS高速缓存污染、ARP欺骗、IP欺骗;在模拟攻击步骤中所述评估安全性能包括:当DNS高速缓存污染攻击成功时,采取在防火墙上过滤入站的DNS更新或取消外部DNS服务器更改内部服务器对内部机器的认识;当ARP欺骗攻击成功时,采取的方法包括:将网络安全信任关系建立在IP+MAC基础上;设置静态的MAC/IP对照表;当系统不使用ARP时,禁止ARP服务并将ARP作为永久条目保留在对应表中;使用防火墙监控网络;当IP欺骗攻击成功时,采取的一种方法包括:屏蔽:r*远程调用命令的使用,删除.rhosts文件,清空/etc/hosts.equiv文件或采取另一种方法:采用包过滤方式对网内和网外分别采用不同的信任关系的技术手段,由于模拟攻击就是假设自己是一个非法入侵的攻击者,如黑客,利用目前存在的系统漏洞和常用的攻击手段,对提交评测的系统的开发环境或使用环境里进行攻击,以发现安全问题。
[0036]4、本专利采用侦听测试步骤:获取并缓存网络数据包并对所述数据包进行分解或分析,在侦听测试步骤中获取并缓存网络数据包的位置在网关或路由器或交换机或防火墙处的技术手段,由于监听技术,也称网络监听,可以获取网络上传输的信息,而这些信息并不是发给自己的,网络侦听技术是一个常用的手段,可以有效地管理网络、诊断网络问题,检车网络的安全威胁,目前网络监听有许多工具,有硬件的、软件的评测认为为了测评信息系统的安全环境,熟悉网络侦听技术,使用侦听技术是一种有效地安全测试方法,目前最常用的以太网络是一个广播型的网络,该网中任一一台计算机都可以真听到所有的这个网段的传输包,只要使用工具或自编的程序对吧侦听道德数据包复制存储下来,就可以利用这些信息来分析网络情况,一般侦听最好放在网关、路由器、交换机、防火前等类的设备处,以为这里要刘静相当多的信息包,效果较好,作为安全监测的一个手段,侦听技术使得使用了侦听程序的及其响应速度变慢,以为侦听程序运行时,需要消耗大量的CPU处理时间和内存空间,一般侦听程序不会马上将侦听到的包进行分解分析,而是不停地收藏存储,待以后再分析,防止因为忙不过来二漏掉的一些包,网络中侦听到的信息量是海量、复杂、无分类的,有时将同一个TCP会话的包整理到一起都是很难做到,那么用户的详细信息整理出来的工程也十分繁杂,总体上使用侦听技术能有效地管理和诊断并检查网络的安全威胁的问题。
【附图说明】
[0037]图1是本发明一种软件的自动化测试方法的流程图。
[0038]图中:1-功能验证步骤,2-漏洞扫描步骤,3-模拟攻击步骤,4-侦听测试步骤。
【具体实施方式】
[0039]以下结合附图对本发明做进一步描述:
[0040]实施