软件测试课件 第13章 软件安全性测试

第十三章

软件安全性测试第十三章软件安全性测试13.1软件安全性与漏洞13.1.1软件安全性概述13.1.2软件漏洞简介13.1.3软件漏洞类别13.2模糊测试13.2.1

模糊测试原理13.2.2模糊测试流程13.2.3模糊测试工具第十三章软件安全性测试13.3渗透测试13.3.1渗透测试原理13.3.2渗透测试流程13.3.3渗透测试工具13.4自动驾驶辅助系统的安全验证13.4.1自动驾驶安全攻击面13.4.2车辆信息安全解决方案13.4.3自动驾驶仿真测试13.1.1软件安全性概述软件安全性的核心属性依据国家标准GB/T30998—2014，软件安全的核心在于采用系统化方法识别、分析、控制并持续监控软件中的安全威胁和脆弱点。机密性（Confidentiality）确保敏感信息仅限于授权用户访问，防止未授权的披露。通过加密、访问控制和身份验证等机制实现。完整性（Integrity）保护数据和程序代码免受篡改或破坏，确保数据的准确性和一致性。通过数字签名、哈希校验和安全更新机制维持。可用性（Availability）保证授权用户能够随时访问和使用软件资源。高可用性依赖于冗余设计、负载均衡和灾难恢复方案。13.1.2软件漏洞简介软件漏洞（SoftwareVulnerability）是指在软件设计、实现、配置或管理中出现的任何弱点或缺陷，可被恶意个体利用，对软件安全性和系统稳定性造成威胁。漏洞产生的主要原因（1）编码错误：程序员在编写代码时无意间引入安全漏洞，如不当的输入验证、错误处理或资源管理。（2）设计缺陷：软件架构设计时未充分考虑安全性，缺乏适当的权限控制或加密机制。（3）配置不当：软件部署后配置设置不正确或默认设置过于宽松，导致安全漏洞。（4）第三方组件：使用了含有已知或未知漏洞的第三方库或框架。（5）人为因素：社会工程学攻击利用用户疏忽，诱骗用户提供敏感信息。常见漏洞类型：缓冲区溢出、SQL注入、XSS（跨站脚本）、CSRF（跨站请求伪造）、权限提升等。13.1.3软件漏洞类别CWE（CommonWeaknessEnumeration）是全球公认的软件安全漏洞分类标准库，自2006年由US-CERT资助创立，已成为软件安全领域的权威参考。CWE-699软件开发漏洞分类围绕软件开发过程中频繁使用的概念组织软件弱点，涵盖架构设计到实现的各个阶段。截止2023年底，CWE将软件安全漏洞划分为40个一级分类。CVE常见漏洞类别（2014-2024年数据）•Overflow（溢出）•Memorycorruption（内存崩溃）•SQLinjection（SQL注入）•XSS（跨站点脚本攻击）漏洞按时间维度的分类•0-day漏洞：尚未公开、无补丁的漏洞，攻击价值最高•1-day漏洞：已公开但尚未广泛修复的漏洞•历史漏洞：已有补丁但仍存在于未更新系统中的漏洞第十三章软件安全性测试13.1软件安全性与漏洞13.2模糊测试13.2.1

模糊测试原理13.2.2模糊测试流程13.2.3模糊测试工具13.2.1模糊测试原理模糊测试（FuzzingTesting）最早起源于20世纪80年代，在Unix系统上广泛用于网络协议测试，是发现软件安全漏洞的重要手段之一。基本原理通过向被测试系统提供非预期的、随机的或异常的输入，观察系统是否出现异常行为（如崩溃、挂起或产生未定义结果），从而揭示潜在问题。通常以自动化或半自动化方式实施。两种主要数据生成方法•基于变异的模糊测试：从已知合法输入开始，通过随机修改创建新的测试案例。•基于生成的模糊测试：依据目标系统接受的输入格式或协议，构建特定的输入数据。13.2.2模糊测试流程（一）（1）确定测试目标明确测试对象（独立应用、库、网络服务等），包括版本、运行环境等基本信息。（2）分析测试输入分析目标系统的各项功能及输入接口，确定可能的输入点和潜在漏洞区域，梳理数据类型与格式（文件格式、网络协议数据、API调用参数等）。（3）生成测试数据利用模糊测试工具生成随机或变异的输入数据，覆盖各种可能性（从正常值到完全不合逻辑的值）。（4）执行测试将生成的模糊数据输入到测试目标中并运行系统，可能需要重复成千上万次以充分覆盖各种输入情况。模糊测试的主要步骤13.2.2模糊测试流程（二）（5）监控系统行为持续监控系统反应，包括是否崩溃、产生错误信息、泄露敏感信息等。监控手段：代码覆盖率跟踪、性能指标、错误日志。（6）记录和分析结果收集测试期间产生的所有数据（错误报告、崩溃转储、异常行为记录），分析是否存在潜在漏洞或错误。（7）修复与验证对发现的问题进行修复，再次运行模糊测试以验证漏洞是否已解决（迭代过程）。（8）持续集成与自动化最佳实践是将模糊测试集成到CI/CD流程中，定期自动运行，确保软件质量并及时发现新引入的漏洞。监控、分析与报告13.2.3模糊测试工具AFL工作原理（1）覆盖率引导：通过插桩记录代码覆盖情况，评估和选择最有可能发现新路径的测试用例。（2）遗传算法：维护种子队列，通过变异（Mutation）和交叉（Crossover）操作生成新测试用例。（3）高效变异：包括位翻转、插入、删除、重排数据块等复杂操作。（4）QEMU模拟：在隔离环境中执行目标程序，提供快照和恢复功能。AFL主要特性•自动化测试、支持多线程和分布式测试、提供详细测试报告•兼容Linux/macOS/Windows，支持多种编程语言•AFL++是增强版本，引入了更多高级特性和性能优化AFL（AmericanFuzzyLop）AFL是基于覆盖引导的模糊测试工具，由安全研究员MichałZalewski开发。通过编译阶段对目标程序插桩，追踪程序执行路径。13.2.3模糊测试工具LibFuzzer工作原理（1）覆盖率引导：通过编译阶段插桩监控执行路径，优先生成能增加代码覆盖率的输入。（2）进化算法：基于已知测试用例生成变异体，使用反馈机制优化效率。（3）单进程运行：在同一进程中运行所有测试用例，快速迭代并有效利用内存数据。（4）动态字典：支持预定义值集合，生成更接近实际的输入数据。LibFuzzer主要特性•高性能：快速执行大量测试用例，支持多核处理•集成度高：轻松集成到C/C++项目，只需编译时添加标志•接口简洁：通过定义“目标函数”（接收数据缓冲区和长度）来指定测试目标LibFuzzer（LLVM项目）LibFuzzer是LLVM项目的一部分，专门设计用于发现软件中的缓冲区溢出、空指针解引用、越界访问等潜在缺陷。第十三章软件安全性测试13.1软件安全性与漏洞13.2模糊测试13.3渗透测试13.3.1渗透测试原理13.3.2渗透测试流程13.3.3渗透测试工具13.3.1渗透测试原理渗透测试（PenTest）通过模拟黑客可能使用的各种技术和工具，尝试入侵软件系统，以发现系统中存在的漏洞和安全弱点。核心理念测试人员从攻击者的视角，主动分析软件系统的任何弱点、技术缺陷或漏洞。通过渗透测试，能够识别潜在安全威胁，并提出改进建议以加强系统安全性。渗透测试vs普通安全测试•渗透测试：主动攻击视角，目标是证明漏洞可被利用•普通安全测试：规范性检查，验证安全控制措施是否到位重要原则渗透测试必须在授权范围内进行，遵守道德规范和法律要求，确保测试活动的安全性和合法性。13.3.2渗透测试流程S1：渗透任务设定与客户沟通，明确测试目标、范围及限制条件。确定要测试的系统，定义测试深度和广度，确保不会对生产环境造成破坏。S2：信息收集收集目标系统信息（系统版本、架构、输入输出点、已知漏洞等）。使用扫描工具识别端口、服务，查找公开可用的数据。S3：渗透攻击基于收集到的信息，利用已知漏洞或弱点尝试入侵目标系统。可使用自动化工具或手动执行攻击步骤。S4：迭代攻击判断突破某防御层后，决定是否继续深入攻击（如提升权限、横向移动到其他系统）。后渗透整理发现，生成详细报告（漏洞描述、影响分析、修复建议），提供系统安全性改进指导。13.3.3渗透测试工具Metasploit（/）是开源的安全漏洞检测工具，帮助安全专家识别和验证网络中的安全漏洞。主要功能模块•漏洞数据库：包含数千个已知漏洞和相应的攻击模块•攻击模块（Exploits）：针对特定漏洞的利用代码•后渗透攻击模块：获得初步访问后，用于提升权限、安装持久化机制、清除日志•辅助模块：扫描、枚举、侦察等功能，帮助收集目标信息•Payloads（有效载荷）：包含shellcode等，用于建立反向shell连接•编码器和加密器：修改payloads以绕过防病毒软件和入侵检测系统使用方式•命令行界面（CLI）•图形界面Armitage•Web界面MetasploitPro第十三章软件安全性测试13.1软件安全性与漏洞13.2模糊测试13.3渗透测试13.4自动驾驶辅助系统的安全验证13.4.1自动驾驶安全攻击面13.4.2车辆信息安全解决方案13.4.3自动驾驶仿真测试13.4.1自动驾驶安全攻击面1.传感器安全传感器是自动驾驶的前沿，大多数攻击与传感器有关。包括：•车辆动力学传感器：胎压监测系统、磁编码器、惯性传感器•环境传感器：激光雷达、毫米波雷达、超声波雷达、摄像头、GPS单元常见攻击：注入错误信息或降低传感器性能。2.车载系统安全自动驾驶系统集成定位、感知、规划、控制等多个软件模块，操作系统需提供各模块间的通信和资源分配功能，实时性要求极高。3.V2X通信安全V2X（VehicletoEverything）包括V2V、V2I、V2P、V2N等通信机制。车辆通过V2X获取实时交通状态、行人信息、周围车辆状态等，V2X通信安全是自动驾驶的重要领域。13.4.2车辆信息安全解决方案基于多层纵深防御系统的车辆信息安全框架，主要目的是“防御外部入侵，防止核心应用程序和私人数据泄露，防止车辆控制威胁”。六层防御架构（1）外部通信层：从云和环境提取信息，传输至接入网关层（2）接入网关层：使用专用安全网关将车辆网络与互联网/车辆子网隔离（3）网络防御层：部署DPI（深度包检测）系统，分析异常网络行为并阻塞攻击（4）车内应用层：黑盒和安全计算机处理内部信息（5）系统防御层：基于角色的信任管理、安全套接字、分区加密等技术（6）控制防御层：加密CAN传输控制指令，监测ECU确保控制系统功能安全性13.4.3自动驾驶仿真测试仿真测试优势•测试场景配置灵活，场景覆盖率高•对危险场景（cornercase）可复现再测试•可实现自动测试和云端加速，提升效率降低成本•