網(wǎng)站安全攻與防的啟示錄(11)

白盒測(cè)試

如果把黑盒測(cè)試比喻成中醫(yī)看病，那么白盒測(cè)試無疑就是西醫(yī)看病了。測(cè)試人員采用各種儀器和設(shè)備對(duì)軟件進(jìn)行檢測(cè)，甚至把軟件擺上手術(shù)臺(tái)解剖來看個(gè)究竟。白盒測(cè)試是一種以理解軟件內(nèi)部結(jié)構(gòu)和程序運(yùn)行方式為基礎(chǔ)的軟件測(cè)試技術(shù)，通常需要跟蹤一個(gè)輸入經(jīng)過了哪些處理，這些處理方式是否正確。

在很多測(cè)試人員，尤其是初級(jí)測(cè)試人員看來，白盒測(cè)試是一種只有非常了解程序代碼的高級(jí)測(cè)試人員才能做的測(cè)試。熟悉代碼結(jié)構(gòu)和功能實(shí)現(xiàn)的過程當(dāng)然對(duì)測(cè)試有很大的幫助，但是從黑盒測(cè)試與白盒測(cè)試的區(qū)別可以看出，有些白盒測(cè)試是不需要測(cè)試人員懂得每一行程序代碼的。

如果把軟件看成一個(gè)黑箱，那么白盒測(cè)試的關(guān)鍵是給測(cè)試人員戴上一副X光透視眼鏡，測(cè)試人員通過這副X光透視眼鏡可以看清楚輸入到黑箱中的數(shù)據(jù)是怎樣流轉(zhuǎn)的。

一些測(cè)試工具就像醫(yī)院的檢測(cè)儀器一樣，可以幫助了解程序的內(nèi)部運(yùn)轉(zhuǎn)過程。例如，對(duì)于一個(gè)與SQL Server數(shù)據(jù)庫連接的軟件系統(tǒng)，可以簡(jiǎn)單地把程序的作用理解為：把用戶輸入的數(shù)據(jù)通過SQL命令請(qǐng)求后臺(tái)數(shù)據(jù)庫，數(shù)據(jù)庫把請(qǐng)求的數(shù)據(jù)返回給程序的界面層展示給用戶�？梢园裇QL Server自帶的工具事件探查器當(dāng)成是一個(gè)檢查SQL數(shù)據(jù)傳輸?shù)木�密儀器，它可以記錄軟件客戶端與服務(wù)器數(shù)據(jù)庫之間交互的一舉一動(dòng)，從而讓測(cè)試人員可以洞悉軟件究竟做了哪些動(dòng)作。

在測(cè)試過程中，應(yīng)該綜合應(yīng)用黑盒測(cè)試方法和白盒測(cè)試方法，按需要采用不同的技術(shù)組合。不要用黑盒測(cè)試方法和白盒測(cè)試方法來劃分自己屬于哪一類測(cè)試人員，一名優(yōu)秀的測(cè)試人員應(yīng)該懂得各種各樣的測(cè)試技術(shù)和查找Bug的手段。

最后我們談?wù)勑碌姆阑饓�問題。到目前為止，我們都是側(cè)重于預(yù)防措施。但在現(xiàn)實(shí)世界中，我們不可能總是改編程序和環(huán)境，所以我們必須采用其他技術(shù)措施。這就是為什么會(huì)產(chǎn)生新的防火墻。

防火墻用于應(yīng)用程序或者監(jiān)控流量的運(yùn)行監(jiān)控，也可以在執(zhí)行運(yùn)行時(shí)進(jìn)行分析。防火墻可以找出攻擊，并阻止嘗試或修改的要求，來確保WEB服務(wù)器和數(shù)據(jù)庫服務(wù)器的安全運(yùn)行。

目前不光有WEB應(yīng)用防火墻和網(wǎng)絡(luò)防火墻能防范攻擊者透過應(yīng)用層和網(wǎng)絡(luò)層的攻擊；“數(shù)據(jù)庫防火墻”也于這兩年在不斷的數(shù)據(jù)庫泄密事件中出現(xiàn)在公眾的視線里，國內(nèi)稱之為“數(shù)據(jù)庫審計(jì)”產(chǎn)品，這些產(chǎn)品能給數(shù)據(jù)庫提供實(shí)時(shí)的網(wǎng)絡(luò)存儲(chǔ)與訪問的安全。

任何一個(gè)好的數(shù)據(jù)庫安全策略都應(yīng)包括監(jiān)控和審計(jì)，以確保保護(hù)對(duì)象正常運(yùn)行，并且運(yùn)行在正確的位置上，這也是個(gè)非常耗時(shí)的過程。由于缺乏時(shí)間和工具，大多數(shù)用戶對(duì)于數(shù)據(jù)庫配置的檢查往往也僅是抽查而已。

這里還需要指出的是目前多數(shù)人認(rèn)為“數(shù)據(jù)庫審計(jì)”等同于數(shù)據(jù)庫安全，事實(shí)上，數(shù)據(jù)庫安全遠(yuǎn)遠(yuǎn)不是數(shù)據(jù)庫審計(jì)可以搞定的，數(shù)據(jù)庫審計(jì)只是數(shù)據(jù)庫安全的一個(gè)很小的方面，之所以有時(shí)候?qū)Φ绕饋�，一方面是由于市�?chǎng)宣傳導(dǎo)致的誤導(dǎo)，另一方面的確是這個(gè)部分的問題比較容易產(chǎn)品化/工具化，技術(shù)實(shí)現(xiàn)相對(duì)比較成熟。數(shù)據(jù)庫安全應(yīng)該包括：數(shù)據(jù)庫資產(chǎn)管理、數(shù)據(jù)庫配置加固、職責(zé)分離、特權(quán)用戶控制、數(shù)據(jù)庫弱點(diǎn)掃描和補(bǔ)丁管理、數(shù)據(jù)庫加密、數(shù)據(jù)庫審計(jì)。

最后，我們還是回到應(yīng)用程序的安全以及與數(shù)據(jù)庫之間的相互作用問題上。即我們必須要考慮到的問題是應(yīng)用程序的安全以及與數(shù)據(jù)庫之間的相互作用，尤其是對(duì)于當(dāng)今流行的高度動(dòng)態(tài)的和互動(dòng)的網(wǎng)絡(luò)應(yīng)用程序而言。理解數(shù)據(jù)庫與應(yīng)用程序和系統(tǒng)環(huán)境之間的作用可以更加提升數(shù)據(jù)的安全性。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]