基于錯誤注入的組件安全性測試研究.pdf

1、隨著基于組件的軟件開發(fā)技術的出現(xiàn)，組件——特別是第三方組件的使用，大大提高了軟件開發(fā)的效率。組件技術的基礎是存在大量的組件，因此，組件的可靠性和安全性就顯得尤為重要。然而有關組件的軟件測試技術的研究還相對薄弱，組件的安全性測試更是軟件測試理論一個新的研究方向，其理論和技術的研究對于促進組件技術的發(fā)展具有重要的理論價值和現(xiàn)實意義。 由于不同于傳統(tǒng)的軟件模塊，組件以第三方復用為目的進行開發(fā)，多數(shù)情況下源代碼不可見，對組件尤其是第三方

2、組件只能采用基于“黑盒”的安全性測試方法。 在當今黑盒安全性測試領域，錯誤注入技術作為一種模擬攻擊和動態(tài)執(zhí)行分析的有效技術，在軟件測評和系統(tǒng)安全性分析方面具有明顯的優(yōu)勢。它根據(jù)軟件代碼運行所產(chǎn)生的行為而不是簡單地從其結(jié)構(gòu)來研究軟件的安全漏洞，這種方法有利于發(fā)現(xiàn)那些通過靜態(tài)結(jié)構(gòu)分析所無法發(fā)現(xiàn)的新的潛在安全漏洞來源。 SDFI(Static and Dynamic Fault Injection)是一種基于錯誤注入技術的針對

3、組件特別是第三方組件的安全性測試方法。SDFI 建立在安全漏洞分類學研究的基礎之上，給出一種組件安全錯誤注入測試模型FIM(Fault Injection Model)。FIM 針對組件運行前和運行時兩個不同時機，選擇兩種不同的錯誤注入檢測方法——接口參數(shù)錯誤注入和動態(tài)環(huán)境錯誤注入，從而達到有針對性地高效率測試組件安全漏洞的目的。 SDFI 分別針對接口參數(shù)錯誤注入及動態(tài)環(huán)境錯誤注入測試用例“組合爆炸”問題，給出相應的EEC(E