为什么安全性测试如此重要?
上一篇 /
下一篇 2012-04-20 09:23:41
/ 个人分类:杂谈
你或许在想尽一切办法确保(把网站)发布,尤其是想到如果不能按期发布就会有各种的不舒服。但是,有些网站,最好还是重视一下安全性
测试。
51Testing软件测试网)n C
k�S�y�h"f�K0R 举个例子:-) 你在做一个投票系统。——我不是说“美国偶像”节目的投票(它们已经开始在线投票了),我是说投票选举一个市长。纸质选票可能看上去过时,不灵活,易被篡改,所以我们准备在线投票。
(y�J)y S�~�w�S5c-~5j�f051Testing软件测试网4S/A�z#c�Z�l 几年前,华盛顿州就做过这么一个在线投票系统。在2010年,开发团队把他们的成果提交给安全专家进行测试。然后,它在安全性测试中杯具地失败了。这个故事最近被提起,是因为政府官方文档才被公开。测试工程师们甚至没有使用过于复杂的手段,他们只是从外头看了看系统,做了一些试探,系统就被彻底的KO了。以下是记录下来的细节:
(]&P�j'~2u0W8O051Testing软件测试网�j�S�D4n�b$p6Q8{%M “在系统上线后的48小时内,我们就获取了对投票服务器的完全掌控”,调查人员的报告最近曝光。“我们成功改变了选票的结果,提取了几乎所有的加密投票结果。”黑客们在两个工作日内就获得了这些成果——而这仅仅是开发者们给的尝鲜时间。
�^(M-A�R o�B051Testing软件测试网%}�v�j4u�G'@�f 安全专家们在检查一些通常的脆弱点——比如登录,在线选票录入页面,文件操作,以及事务Cookie等时就发现了不少弱点。系统用的Linux内核有一些广为所知的漏洞。测试人员还通过系统自动生成的PDF文件破解了加密算法。黑客甚至通过未加密的摄像头看到各种选举设施的内部情况(希望没有三俗画面——译者)。开源代码的使用使得黑客的工作更加容易了,不过测试工程师认为即使所有的程序都由开发团队自己开发,攻击步伐也不会慢太多。51Testing软件测试网�L
c6i)f%a�D�l
51Testing软件测试网�F�Q8S�G3y�x 研究人员最后得出了结论:很难构建安全的投票系统。一个小的配置或部署错误就会破坏整个投票流程的安全性。即时他们不使用中央服务器这个显而易见的大攻击目标,系统中仍然会有许多攻击点留给黑客们享用。距离构建安全的投票系统还有漫长的路要走,有大量基础设施需要被改进。
�f4s,g�m:U�Y051Testing软件测试网�q s�x5D�M,w�E
U$j9@ 这个案例就说明了安全测试,尤其是拥有安全专家的安全测试是如此重要。专业的程序员们创建了电子投票系统,但是那些系统在另有所图的人面前显得弱不禁风。51Testing软件测试网8F%O�C&a#X�?
�s8|�y�? A�z C0 也许你的软件不会用于选出下一任美国总统,但是我们还是要防止黑客通过登录、文件访问等途径搞破坏。同时我们应该坐下来听听测试人员的建议——尽管有些建议不太中听,而且会让项目延期——因为一旦发布出去的系统有漏洞,那有可能对用户和公司信誉造成巨大的损失。51Testing软件测试网9Y4Y�r2q%n3N�D
!}�M�U�S"~9w2k�E�[0 原文出自:http://www.testart.cn/2012/03/securitytest/
.K%n�u�?�O�j%F�_*Z6X�S0
收藏
举报
TAG:
