基于錯(cuò)誤注入的組件安全性測試研究.pdf

1、隨著基于組件的軟件開發(fā)技術(shù)的出現(xiàn)，組件——特別是第三方組件的使用，大大提高了軟件開發(fā)的效率。組件技術(shù)的基礎(chǔ)是存在大量的組件，因此，組件的可靠性和安全性就顯得尤為重要。然而有關(guān)組件的軟件測試技術(shù)的研究還相對薄弱，組件的安全性測試更是軟件測試?yán)碚撘粋€(gè)新的研究方向，其理論和技術(shù)的研究對于促進(jìn)組件技術(shù)的發(fā)展具有重要的理論價(jià)值和現(xiàn)實(shí)意義。 由于不同于傳統(tǒng)的軟件模塊，組件以第三方復(fù)用為目的進(jìn)行開發(fā)，多數(shù)情況下源代碼不可見，對組件尤其是第三方

2、組件只能采用基于“黑盒”的安全性測試方法。 在當(dāng)今黑盒安全性測試領(lǐng)域，錯(cuò)誤注入技術(shù)作為一種模擬攻擊和動態(tài)執(zhí)行分析的有效技術(shù)，在軟件測評和系統(tǒng)安全性分析方面具有明顯的優(yōu)勢。它根據(jù)軟件代碼運(yùn)行所產(chǎn)生的行為而不是簡單地從其結(jié)構(gòu)來研究軟件的安全漏洞，這種方法有利于發(fā)現(xiàn)那些通過靜態(tài)結(jié)構(gòu)分析所無法發(fā)現(xiàn)的新的潛在安全漏洞來源。 SDFI(Static and Dynamic Fault Injection)是一種基于錯(cuò)誤注入技術(shù)的針對

3、組件特別是第三方組件的安全性測試方法。SDFI 建立在安全漏洞分類學(xué)研究的基礎(chǔ)之上，給出一種組件安全錯(cuò)誤注入測試模型FIM(Fault Injection Model)。FIM 針對組件運(yùn)行前和運(yùn)行時(shí)兩個(gè)不同時(shí)機(jī)，選擇兩種不同的錯(cuò)誤注入檢測方法——接口參數(shù)錯(cuò)誤注入和動態(tài)環(huán)境錯(cuò)誤注入，從而達(dá)到有針對性地高效率測試組件安全漏洞的目的。 SDFI 分別針對接口參數(shù)錯(cuò)誤注入及動態(tài)環(huán)境錯(cuò)誤注入測試用例“組合爆炸”問題，給出相應(yīng)的EEC(E