如何使用ThreadingTest提高軟體安全性檢測效率（上）

標籤：測試   Mobile Testing   android測試   白盒測試   測試載入器   

如何使用ThreadingTest提高軟體安全性檢測效率（上）

一般來說，對安全性要求不高的軟體，其安全性測試可以混在單元測試、整合測試、系統測試裡一起做。但對安全性有較高需求的軟體，則必須做專門的安全性測試，以便在破壞之前預防並識別軟體的安全問題。安全性測試(Security Testing)是指有關驗證應用程式的安全等級和識別潛在安全性缺陷的過程。應用程式級安全性測試的主要目的是尋找軟體自身程式設計中存在的安全隱患，並檢查應用程式對非法侵入的防範能力, 根據安全指標不同測試策略也不同。注意：安全性測試並不最終證明應用程式是安全的，而是用於驗證所設立策略的有效性，這些對策是基於威脅分析階段所做的假設而選擇的。例如，測試應用軟體在防止非授權的內部或外部使用者的訪問或故意破壞等情況時的運作。

讓我們先來瞭解一下ThreadingTest測試載入器：

ThreadingTest（簡稱“TT”）是創新型的系統級白盒測試載入器和數字化軟體測試裝置，它的設計基於融合了4項國家發明專利而打造成的軟體測試行業的革新性測試理念-“穿線測試”。TT首次將黑箱測試與白盒測試過程以及方法進行完美的融合，以黑盒的測試過程及方法，產生白盒測試的資料，真正將軟體測試帶入數字化測試時代。除了支援傳統的JavaEE應用，同時TT也是全球首款商用層級的移動端白盒測試載入器，可以對各種類型的移動類應用進行測試。

TT的所有特性基於對代碼、測試等的深度量化分析和智能計算，TT除了可以進行白盒測試外，也可以為軟體的安全性測試提供全過程、系統性的方法支援，TT可以在安全性測試黑盒方法的過程中，從輔助分析，自動診斷，快速定位等多個層面提供軟體安全性測試解決方案。TT提供的功能遠超越了傳統安全性白盒測試的功能範疇，配合流行Fuzzing安全性測試方法，可以將安全性測試的效率、品質進行大幅度的提升。

下面就針對軟體安全性測試的所必須檢測的特性，展示TT對於安全性測試提供的一系列方法：

 

方法一：ThreadingTest示波器專利技術

ThreadingTest率先將引入的測試示波器概念，在實際測試的過程中，可以即時的看到從程式中各種邏輯執行的速率、頻率等資訊，測試人員可以從傳統的對被測應用的黑盒子測試（僅能看到功能的反饋無法看到程式內部的反饋）進而轉換成為類似於對於硬體測試的示波器一樣，能夠對整個測試過程的關鍵測試資料進行即時的分析和查看。示波器本身具有如下功能：

示波器功能體現:

1.      即時記錄被測程式的運行資訊：塊，函數，條件，運行堆棧

2.      即時記錄測試案例對應的程式執行邏輯：

3.      支援源碼分離的測試模式

4.      支援分布式的即時記錄被測程式的運行資訊

5.      可視化觀察程式運行情況。波形可直觀反應程式行為。

6.      通過波形剖析器在各種硬體平台上的運行效能。

7.      支援真機、模擬器等各類裝置的接入

8.      支援各種自動化操作和單元測試所產生的測試資料的記錄

9.      支援USB、WIFI、藍芽等各種裝置的串連方式

通過示波器，對安全性測試過程中程式在攻擊情況下的響應情況進行分析

TT示波器的創意來自於電氣裝置測試中的電子示波器，它能夠精準的、即時的捕捉到程式啟動並執行各種特性運行指標，TT通過即時的單位時間內程式執行塊、條件數、函數的數量等指標圖形，分析出來程式的各種運行特性以及運行異常。針對於安全性測試，它可以結合黑盒安全性測試載入器，在安全性測試載入器進行例如滲透性測試等過程中，即時給出程式的響應的情況。例如在進行代碼的滲透性測試過程中，通過TT示波器我們可以展示如下的資料，用來輔助分析滲透性測試的結果：

1.     被測試程式是否會因為攻擊行為，而進行持續大量的運算，例如面對DDOS攻擊等情況下的反應；

2.     被測試程式在各種攻擊行為時，是否會出現瞬時的、或者永久性的拒絕服務（DDos），DDos攻擊通常會表現為部署被測試應用伺服器CPU、記憶體、網路等資源的消耗，從程式內部角度，將會有一些函數和方法會被密集的非常規調用，這些TT示波器將會進行詳細的剖析器執行序列流，以便於快速確定、排查和修複問題；

3.     在類比非授權攻擊的情況下，在沒有正常的使用者權限的情況下，其後台代碼是否會被執行到，通過觀察示波器的函數執行的堆棧序列可以檢出本類問題。

 

通過示波器，對安全性測試過程中帳號許可權進行檢測

TT示波器可以對帳號許可權進行精準的檢測，TT示波器的指標本身具有等價類別劃分功能，他們可以用來精確的剖析器對於各種使用者權限是否有正確處理：

通過運行事先準備好的具有各種權限類別的用例，TT示波器通過用例運行監控資料，會對這些用例進行等價類別劃分，其原理是軟體通常會針對不同的使用者執行不同的邏輯，不同的邏輯就會執行程式內部不同的代碼序列，並進而導致TT示波器的三個指標會發生變化，通過分析各個用例TT示波器給出的運行指標，就可以確定，使用者權限的代碼處理是否存在問題，例如分析出本不應該具有相同許可權的使用者，示波器卻給出了相同的執行指標。本應該相同許可權的使用者，示波器卻給出了不相同的執行指標等安全性風險。

通過示波器，檢測多線程程式的運行特性及安全

對於存在多線程操作的軟體中，TT示波器可以對多線程的運行情況精細分析，多線程通常會比較容易出現資源爭用甚至導致死結等情況發生，TT示波器可以對線程的運行進行分析，當線程發生死結的情況下，TT示波器會給出直觀的圖形給予顯示。同時也可以給出在處理大量資料情況下，線程數量和程式處理資料吞吐速率的比例關係。

 

目前ThreadingTest進階個人版是免費使用的，還有雲測試的試用版，可以線上申請獲得，可以在技術網站瞭解詳情，網址：http://www.teststars.cc/，如果您在安裝與試用過程中有任何疑問，您可以加入QQ技術群-"符號執行-穿線測試“，QQ號為：“339834199"

 

著作權聲明：本文為博主原創文章，未經博主允許不得轉載。

如何使用ThreadingTest提高軟體安全性檢測效率（上）