《FORTIFY培训2》由会员分享,可在线阅读,更多相关《FORTIFY培训2(22页珍藏版)》请在金锄头文库上搜索。
1、结合具体案例 介绍Fortify工具的使用,陈智浩,案例简介,上海市软件评测中心自购买Fortify系列安全测试工具以来共积累了以下几个案例:2006年上海市中小学幼儿园教师和教育管理人员全员培训专题网站上海洋山港综合信息服务平台 (部分白盒)外高桥保税区物流信息平台 (黑盒)苏通大桥项目管理信息系统 (黑盒)2007年上海特殊奥运会执委会管理信息系统(黑盒)长江在线监测信息管理软件(白盒)2007上海市非税收入管理信息系统(白盒)中国消费指导网(黑盒)闵行区信访业务系统(民生热线) (白盒)上海闵行国际物流中心信息系统(黑盒+白盒)浦东新区市民中心网格化办公室(黑盒),案例分析,苏通大桥项目
2、管理信息系统 (黑盒) 1、采用VPN(PPTP)访问方式(上海网通江苏电信),使用DELL650N MT服务器 CPU:Xeon 3.2GHz 内存:4GB,VS2005崩溃5次 2、采用VPN(PPTP)访问方式(上海电信江苏电信), IBMR52 CPU:P4 2.0GHz 内存:1GB,耗时9小时左右。2007年上海特殊奥运会执委会管理信息系统(黑盒) 1、采用VPN(SSL )访问方式,使用DELL650N MT服务器 2、CPU:Xeon 3.2GHz 内存:4GB,耗时3小时以上 现场局域网访问方式,IBMR52 CPU:P4 2.0GHz 内存:1GB,耗时1小时左右结论:黑盒
3、测试工具对网络条件依赖较大,网络环境差容易导致VS2005崩溃,并且明显影响测试速度。,案例分析,外高桥保税区物流信息平台 (黑盒)现场局域网访问方式。外高桥-物流信息网 没有运用框架和控件选择无深度限制,设置登入参数,进行自动化URL扫描测试。外高桥物流信息平台 运用了框架和特殊控件,无法进行自动化测试,录制关键操作进行测试大通关平台运用了框架和特殊控件,无法进行自动化测试,录制关键操作进行测试结论: 对于应用了框架和特殊控件的BS结构的系统,无法进行自动化测试,只能通过录制关键操作来进行测试。(苏通大桥项目管理信息系统、闵行区政府物流中心也应用了大量框架和控件无法进行自动化测试),案例分析
4、,浦东新区市民中心网格化办公室现场局域网访问方式,IBMR52 CPU:P4 2.0GHz 内存:1GB。测试期间IBMR52外接电源被关闭后VS2005崩溃。结论: 黑盒测试工具对测试用机硬件依赖较大,使用笔记本进行黑盒测试时,确保连接外接电源,确保笔记本没有自动降频,确保电源属性中设置成从不关闭硬盘,从不系统待机,从不自动休眠。,案例分析,闵行区政府物流中心现场局域网访问方式,IBMR52 CPU:P4 2.0GHz 内存:1GB。 采用了框架和特殊控件,无法进行自动化测试,采用录制关键操作方式进行,但只抓取到登入的操作,无法抓取其它操作。(具体原因不知,已经向Fortify反映)结论:黑
5、盒测试工具对系统的结构依赖较大,对采用了框架和特殊控件的系统进行测试时会遇到诸多不便。,黑盒测试工具小结,自动化测试1、局限性较大,无法对使用了框架和特殊控件的系统进行测试。2、耗时长,对硬件依赖度高,对网络条件依赖度高。3、测试结果较全面。录制测试1、对使用了特殊控件的系统无法进行录制(仅发生一次,原因不确定)2、耗时比自动化测试少,但也对硬件依赖度高,对网络条件依赖度高。3、只能起到抽查的效果。,黑盒测试工具小结,缺点:1、对硬件和网络依赖度高。2、对系统的结构依赖较大。3、自动化测试耗时长,录制测试只能进行抽查。优点: 1、黑盒测试工具可以对所有BS构架的系统的表现层进行测试的,得出的结
6、果比较直观,根据测试报告能够较容易的再现漏洞。2、可以根据白盒测试的结果进行测试,起到动态静态结合的效果。http:/192.168.0.48:8001/walip/baseinfo/NewCompanyDetailInfoSearch.doInjecting alert(FortifyXSS) in parameter functionTitle caused the following text to be embedded in the source code of the web page: alert(FortifyXSS),.,案例分析,长江在线监测信息管理软件开发语言JAVA采用
7、Eclipse3.0Fortify SCA Suit Edition 3.5.1 for Eclipse3.0(简称IDE测试方式)对223个文件总共62074行代码进行了安全测试 发现390个“Hot级安全漏洞” 、293个“Warnings级安全漏洞” 、75个“Info级安全漏洞” 案例分析:当作为IDE插件的SCA引擎扫描完所有代码,并开始生成安全测试报告时,Eclipse表现为无响应的状态,并超过40分钟没有反映,容易被误认为已经死机。静待1小时左右,系安全测试报告生成成功。,案例分析,长江在线监测信息管理软件开发语言JAVA采用命令行操作方式(Fortify SCA Enterpr
8、ise Edition 3.5.1)对对223个文件总共62074行代码进行了安全测试 ,生成fvdl文件,然后用Audit Workbench 打开fvdl文件生成安全测试报告,前后共花费了30分钟左右,得到结果与IDE方式一致结论:对于用JAVA开发的系统,使用命令行测试方式的效率比采用IDE测试方式效率高,但是IDE方式能更直观的查看整个系统,并方便修改代码。,案例分析,上海闵行国际物流中心信息系统开发环境:.Net 2003由于该项目是由多个子系统和子模块集合成的,且没有整个项目的SLN文件,只有各个子系统和子模块的SLN文件,因此对整个系统进行测试比较复杂。可采用命令行方式:把各个S
9、LN文件的路径写在一个批处理文件中,运行VS2003的命令行方式,运行这个批命令文件,最后生成一个fvdl文件。,案例分析,Fortify SCA Enterprise Edition 4.0.0目前Fortify SCA Enterprise 的版本已经升级到4.0.0由于已经把以前各个白盒测试的代码删除,为了比较2个版本的区别,下载了一个开源的JAVA系统进行测试。使用Eclipse3.0Fortify SCA Suit Edition4.0.0 for Eclipse3.0进行测试时,已经不会出现像 3.5.1 版本时那种无响应状态,测试效率提升。增加了漏洞规则,并对漏洞进行了细化。比如
10、:同一种漏洞Cross Sites Scripting被划分为了影响数据流的和影响语义的,并标出了是否属于重复漏洞(如果一个方法被多次调用会标明这些漏洞是重复漏洞)。,白盒测试工具小结,优点:1、能全面的测试整个系统的安全漏洞,并给出详细的漏洞定位,和漏洞情况说明。2、测试耗时较少。缺点:1、比较难向用户展示漏洞。2、无法测试ASP、PHP等语言。(下一个版本将开放对ASP、PHP的代码扫描),案例分析,白盒测试工具和黑盒测试工具在长期不使用的情况的下,license会过期,卸载后重新安装即可继续使用。应急方案:可以通过调整windows的系统日期,继续使用。,案例分析,到目前为止,出现最为频
11、繁的漏洞有:Hot级:1、Cross Sites Scripting2、SQL Injection 3、Privacy Violation: Unencrypted Password Submission Warning级:1、System Information LeakInfo级:1、Poor Error Handling2、Informational: Comments,我们做功能测试时可以尝试的简单攻击,Input Validation - SQL InjectionCode:String name = request.getParameter(name);ResultSet rs =
12、 conn.createStatement().executeQuery(SELECT Data FROM Users WHERE Name = +name+);,我们做功能测试时可以尝试的简单攻击,导致能看到所有的信息。,ResultSet rs = conn.createStatement().executeQuery(SELECT Data FROM Users WHERE Name = joe or 1 = 1);,攻击手法:,我们做功能测试时可以尝试的简单攻击,对于使用SQL Server 2000数据库的系统 (未打SP4补丁)USERNAME PASSWORD 随意填写 SELE
13、CT * FROM Users WHERE USERNAME = Admin- and PASSWORD = 111111 - 在SQL Server 2000 中是注释的意思,Admin-,我们做功能测试时可以尝试的简单攻击,Input Validation - Cross-Site ScriptingCode:String name = request.getParameter(name);if (null != name)name = name.replaceAll(, );out.println(name);,我们做功能测试时可以尝试的简单攻击,能把脚本语言插入数据库,网页调用该条数据时会运行该脚本语言。msgbox TEST,攻击手法:,alert(hi),我们做功能测试时可以尝试的简单攻击,Misconfiguration - Directory ListingExample: . listings true http:/host/greet/greetings.html - http:/host/greet/,我们做功能测试时可以尝试的简单攻击,可以查看到具体的文件夹目录,
