注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

移动Labs

http://labs.chinamobile.com/

 
 
 

日志

 
 
关于我

移动Labs(labs.chinamobile.com):中国移动研究院主办的通信行业汇聚门户,专注于移动通信和互联网领域,核心会员是中移动广大员工及ICT行业用户。提供资讯、博客、讨论组、专业报告、视频、电子日报等信息及知识服务,以及研究院主办的每周线下活动“无限论坛”。

网易考拉推荐

李平:白盒子扫描测试可以带来的好处  

2011-07-19 14:58:01|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
                                                                                                                                           独家供稿:移动Labs

  随着信息化的普及,企业、政府都有大量的网上应用,一些应用可以通过互联网访问,因此信息安全越显得重要。为了信息安全,一般都会设有防火墙、防病毒、IDS/IPS、黑盒子白盒子检测扫描等安全措施。通常防火墙、防病毒、IDS/IPS,黑盒子扫描测试都受到重视,白盒子扫描测试需要源代码、需要同时具备较多安全知识和开发知识的人才,而往往被忽略。其实,如果有条件的对应用进行白盒子扫描测试意义重大,好处多多。

  防火墙、防病毒、IDS/IPS的原理与作用就不说了,下面简要介绍黑盒子白盒子检测扫描原理及白盒子扫描测试的意义。

  一、黑盒子扫描测试基本原理及优缺点

  1、基本原理

  黑盒子扫描测试就是把 Web 应用看做一个“黑盒子”,不需要了解应用内部的架构和编程语言,而模仿普通用户或者黑客通过手工或者工具向Web 应用发送多种测试数据(HTTP Request),通过返回结果(HTTP Response)来判断应用存在哪些漏洞。

  2、黑盒子扫描测试的优势

  1)通过扫描测试实际应用,相当于模仿黑客真实攻击,测试结果真实、准确、直观;

  2)无需应用源代码,无需了解应用部署的环境和架构,测试条件简单;

  3)可以在互联网的任意位置进行跨网测试,易于实施。

  3、黑盒子扫描测试的劣势

  1)扫描测试在生产系统上进行,影响生产系统正常工作;

  2)测试时机较晚,一般等应用正式部署上线后才进行测试;

  3)只能扫描测试到应用漏洞,无法发现系统架构的设计漏洞;

  4)无法确定扫描测试覆盖率。

  二、白盒子扫描测试基本原理及优缺点

  1、基本原理

  白盒子扫描测试就是通过手工或者工具检验应用程序的源代码,利用大量的代码安全规则,分析源代码是否违反规则,从而确定可能存在的安全隐患。

  2、白盒子扫描测试优势

  1)可以在软件开发早期发现安全隐患,解决问题的成本较低(开发商使用);

  2)完整代码扫描,扫描覆盖率高、全面;

  3)通过架构分析可以发现设计漏洞以及应用“后门”;

  3、白盒子扫描测试劣势

  1)工具需要收集大量的代码安全规则,工具好坏决定了扫描的结果;

  2)安全分析人员需要了解大量安全代码规则、安全知识、开发知识;

  3)可能误报率很高。

  三、白盒子扫描测试的意义

  现在的应用都采用高级编程语言,程序员会利用很多已有的功能模块或者预编译的库,访问大量现成的 Services 和数据源,因此应用系统代码量大,少则几万行,多则上千万行。另外应用一般少则几人、多则几十上百人一起编写。因此应用的安全漏洞与引用的代码有关、与编程人员本身有关,安全漏洞处处可见如跨站脚本攻击、SQL注入、资源泄漏、命令注入、缓冲区溢出漏洞、系统信息泄漏漏洞、跨站请求伪造、内存泄漏等。这些漏洞单靠黑盒子扫描测试显然不可能完成,而可以通过白盒子扫描测试来完成。

  1、比黑盒子测试效率高,一般一个50万行左右的应用,1小时以内可以扫描一遍,而用黑盒子扫描测试至少需要5-6小时;

  2、一般发现安全漏洞可细到代码行并给出改进建议,可立刻与开发人员讨论解决,可以促进开发人员编写代码更加规范化,杜绝不安全代码的引用;

  3、定期常态化进行白盒子扫描测试,并对测试结果进行分析比较,不安全代码将一次比一次会减少;

  4、白盒子扫描测试可全覆盖测试,一次性把安全问题都给指出;

  5、通过架构分析可以发现设计漏洞以及应用“后门”,找出安全隐患。

  结论:如果有条件对应用进行白盒子扫描测试,其意义重大,好处多多,建议引入必要的白盒子测试工具。

李平发表在移动Labs的原文链接:http://labs.chinamobile.com/mblog/11017_95997

相关博文:
激活WLAN话务量
移动支付新名词多多

特别推荐:
深圳TD-LTE试点体验:雨天下行70Mbps
无线电频谱渐成电信业稀缺资源 4G发展可借鉴国外经验
印度加快4G频谱拍卖进程 8家电信运营商可获得
中移动为4G测试唯一运营商 或引进iPhone5
技术认可快速提升 TD-LTE运营商阵营稳步扩大

更多精彩推荐:
IDC专题:为数据中心机房防暑降温
存储绿色化 数据中心模块化
数据中心低成本初期投入与后期建设方案
微软将在周末公开微软索尼新域名详情
LTE的抉择:PTN开始向L3功能演进 

FDD仅领先TDD半年左右 开放合作推动TD-LTE走向全球
北京:严格技术验证奠基TD-LTE规模试验

上海:TD-LTE试验网7月底全部开通基站   
广州TD-LTE:特殊场景交织下的“全景组网”
南京:TD-LTE无线测试启动涌现多个创新点
杭州:41.5平方公里TD-LTE网备战试商用

更多精彩知识:

现金悬赏任务

百度PC浏览器

  评论这张
 
阅读(716)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017