網(wǎng)站安全攻與防的啟示錄(11)

白盒測試

如果把黑盒測試比喻成中醫(yī)看病，那么白盒測試無疑就是西醫(yī)看病了。測試人員采用各種儀器和設備對軟件進行檢測，甚至把軟件擺上手術臺解剖來看個究竟。白盒測試是一種以理解軟件內部結構和程序運行方式為基礎的軟件測試技術，通常需要跟蹤一個輸入經(jīng)過了哪些處理，這些處理方式是否正確。

在很多測試人員，尤其是初級測試人員看來，白盒測試是一種只有非常了解程序代碼的高級測試人員才能做的測試。熟悉代碼結構和功能實現(xiàn)的過程當然對測試有很大的幫助，但是從黑盒測試與白盒測試的區(qū)別可以看出，有些白盒測試是不需要測試人員懂得每一行程序代碼的。

如果把軟件看成一個黑箱，那么白盒測試的關鍵是給測試人員戴上一副X光透視眼鏡，測試人員通過這副X光透視眼鏡可以看清楚輸入到黑箱中的數(shù)據(jù)是怎樣流轉的。

一些測試工具就像醫(yī)院的檢測儀器一樣，可以幫助了解程序的內部運轉過程。例如，對于一個與SQL Server數(shù)據(jù)庫連接的軟件系統(tǒng)，可以簡單地把程序的作用理解為：把用戶輸入的數(shù)據(jù)通過SQL命令請求后臺數(shù)據(jù)庫，數(shù)據(jù)庫把請求的數(shù)據(jù)返回給程序的界面層展示給用戶�？梢园裇QL Server自帶的工具事件探查器當成是一個檢查SQL數(shù)據(jù)傳輸?shù)木軆x器，它可以記錄軟件客戶端與服務器數(shù)據(jù)庫之間交互的一舉一動，從而讓測試人員可以洞悉軟件究竟做了哪些動作。

在測試過程中，應該綜合應用黑盒測試方法和白盒測試方法，按需要采用不同的技術組合。不要用黑盒測試方法和白盒測試方法來劃分自己屬于哪一類測試人員，一名優(yōu)秀的測試人員應該懂得各種各樣的測試技術和查找Bug的手段。

最后我們談談新的防火墻問題。到目前為止，我們都是側重于預防措施。但在現(xiàn)實世界中，我們不可能總是改編程序和環(huán)境，所以我們必須采用其他技術措施。這就是為什么會產(chǎn)生新的防火墻。

防火墻用于應用程序或者監(jiān)控流量的運行監(jiān)控，也可以在執(zhí)行運行時進行分析。防火墻可以找出攻擊，并阻止嘗試或修改的要求，來確保WEB服務器和數(shù)據(jù)庫服務器的安全運行。

目前不光有WEB應用防火墻和網(wǎng)絡防火墻能防范攻擊者透過應用層和網(wǎng)絡層的攻擊；“數(shù)據(jù)庫防火墻”也于這兩年在不斷的數(shù)據(jù)庫泄密事件中出現(xiàn)在公眾的視線里，國內稱之為“數(shù)據(jù)庫審計”產(chǎn)品，這些產(chǎn)品能給數(shù)據(jù)庫提供實時的網(wǎng)絡存儲與訪問的安全。

任何一個好的數(shù)據(jù)庫安全策略都應包括監(jiān)控和審計，以確保保護對象正常運行，并且運行在正確的位置上，這也是個非常耗時的過程。由于缺乏時間和工具，大多數(shù)用戶對于數(shù)據(jù)庫配置的檢查往往也僅是抽查而已。

這里還需要指出的是目前多數(shù)人認為“數(shù)據(jù)庫審計”等同于數(shù)據(jù)庫安全，事實上，數(shù)據(jù)庫安全遠遠不是數(shù)據(jù)庫審計可以搞定的，數(shù)據(jù)庫審計只是數(shù)據(jù)庫安全的一個很小的方面，之所以有時候對等起來，一方面是由于市場宣傳導致的誤導，另一方面的確是這個部分的問題比較容易產(chǎn)品化/工具化，技術實現(xiàn)相對比較成熟。數(shù)據(jù)庫安全應該包括：數(shù)據(jù)庫資產(chǎn)管理、數(shù)據(jù)庫配置加固、職責分離、特權用戶控制、數(shù)據(jù)庫弱點掃描和補丁管理、數(shù)據(jù)庫加密、數(shù)據(jù)庫審計。

最后，我們還是回到應用程序的安全以及與數(shù)據(jù)庫之間的相互作用問題上。即我們必須要考慮到的問題是應用程序的安全以及與數(shù)據(jù)庫之間的相互作用，尤其是對于當今流行的高度動態(tài)的和互動的網(wǎng)絡應用程序而言。理解數(shù)據(jù)庫與應用程序和系統(tǒng)環(huán)境之間的作用可以更加提升數(shù)據(jù)的安全性。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]