網站安全攻與防的啟示錄(11)

白盒測試

如果把黑盒測試比喻成中醫(yī)看病，那么白盒測試無疑就是西醫(yī)看病了。測試人員采用各種儀器和設備對軟件進行檢測，甚至把軟件擺上手術臺解剖來看個究竟。白盒測試是一種以理解軟件內部結構和程序運行方式為基礎的軟件測試技術，通常需要跟蹤一個輸入經過了哪些處理，這些處理方式是否正確。

在很多測試人員，尤其是初級測試人員看來，白盒測試是一種只有非常了解程序代碼的高級測試人員才能做的測試。熟悉代碼結構和功能實現的過程當然對測試有很大的幫助，但是從黑盒測試與白盒測試的區(qū)別可以看出，有些白盒測試是不需要測試人員懂得每一行程序代碼的。

如果把軟件看成一個黑箱，那么白盒測試的關鍵是給測試人員戴上一副X光透視眼鏡，測試人員通過這副X光透視眼鏡可以看清楚輸入到黑箱中的數據是怎樣流轉的。

一些測試工具就像醫(yī)院的檢測儀器一樣，可以幫助了解程序的內部運轉過程。例如，對于一個與SQL Server數據庫連接的軟件系統(tǒng)，可以簡單地把程序的作用理解為：把用戶輸入的數據通過SQL命令請求后臺數據庫，數據庫把請求的數據返回給程序的界面層展示給用戶。可以把SQL Server自帶的工具事件探查器當成是一個檢查SQL數據傳輸的精密儀器，它可以記錄軟件客戶端與服務器數據庫之間交互的一舉一動，從而讓測試人員可以洞悉軟件究竟做了哪些動作。

在測試過程中，應該綜合應用黑盒測試方法和白盒測試方法，按需要采用不同的技術組合。不要用黑盒測試方法和白盒測試方法來劃分自己屬于哪一類測試人員，一名優(yōu)秀的測試人員應該懂得各種各樣的測試技術和查找Bug的手段。

最后我們談談新的防火墻問題。到目前為止，我們都是側重于預防措施。但在現實世界中，我們不可能總是改編程序和環(huán)境，所以我們必須采用其他技術措施。這就是為什么會產生新的防火墻。

防火墻用于應用程序或者監(jiān)控流量的運行監(jiān)控，也可以在執(zhí)行運行時進行分析。防火墻可以找出攻擊，并阻止嘗試或修改的要求，來確保WEB服務器和數據庫服務器的安全運行。

目前不光有WEB應用防火墻和網絡防火墻能防范攻擊者透過應用層和網絡層的攻擊；“數據庫防火墻”也于這兩年在不斷的數據庫泄密事件中出現在公眾的視線里，國內稱之為“數據庫審計”產品，這些產品能給數據庫提供實時的網絡存儲與訪問的安全。

任何一個好的數據庫安全策略都應包括監(jiān)控和審計，以確保保護對象正常運行，并且運行在正確的位置上，這也是個非常耗時的過程。由于缺乏時間和工具，大多數用戶對于數據庫配置的檢查往往也僅是抽查而已。

這里還需要指出的是目前多數人認為“數據庫審計”等同于數據庫安全，事實上，數據庫安全遠遠不是數據庫審計可以搞定的，數據庫審計只是數據庫安全的一個很小的方面，之所以有時候對等起來，一方面是由于市場宣傳導致的誤導，另一方面的確是這個部分的問題比較容易產品化/工具化，技術實現相對比較成熟。數據庫安全應該包括：數據庫資產管理、數據庫配置加固、職責分離、特權用戶控制、數據庫弱點掃描和補丁管理、數據庫加密、數據庫審計。

最后，我們還是回到應用程序的安全以及與數據庫之間的相互作用問題上。即我們必須要考慮到的問題是應用程序的安全以及與數據庫之間的相互作用，尤其是對于當今流行的高度動態(tài)的和互動的網絡應用程序而言。理解數據庫與應用程序和系統(tǒng)環(huán)境之間的作用可以更加提升數據的安全性。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]