网站安全攻与防的启示录(11)

白盒测试

如果把黑盒测试比喻成中医看病，那么白盒测试无疑就是西医看病了。测试人员采用各种仪器和设备对软件进行检测，甚至把软件摆上手术台解剖来看个究竟。白盒测试是一种以理解软件内部结构和程序运行方式为基础的软件测试技术，通常需要跟踪一个输入经过了哪些处理，这些处理方式是否正确。

在很多测试人员，尤其是初级测试人员看来，白盒测试是一种只有非常了解程序代码的高级测试人员才能做的测试。熟悉代码结构和功能实现的过程当然对测试有很大的帮助，但是从黑盒测试与白盒测试的区别可以看出，有些白盒测试是不需要测试人员懂得每一行程序代码的。

如果把软件看成一个黑箱，那么白盒测试的关键是给测试人员戴上一副X光透视眼镜，测试人员通过这副X光透视眼镜可以看清楚输入到黑箱中的数据是怎样流转的。

一些测试工具就像医院的检测仪器一样，可以帮助了解程序的内部运转过程。例如，对于一个与SQL Server数据库连接的软件系统，可以简单地把程序的作用理解为：把用户输入的数据通过SQL命令请求后台数据库，数据库把请求的数据返回给程序的界面层展示给用户。可以把SQL Server自带的工具事件探查器当成是一个检查SQL数据传输的精密仪器，它可以记录软件客户端与服务器数据库之间交互的一举一动，从而让测试人员可以洞悉软件究竟做了哪些动作。

在测试过程中，应该综合应用黑盒测试方法和白盒测试方法，按需要采用不同的技术组合。不要用黑盒测试方法和白盒测试方法来划分自己属于哪一类测试人员，一名优秀的测试人员应该懂得各种各样的测试技术和查找Bug的手段。

最后我们谈谈新的防火墙问题。到目前为止，我们都是侧重于预防措施。但在现实世界中，我们不可能总是改编程序和环境，所以我们必须采用其他技术措施。这就是为什么会产生新的防火墙。

防火墙用于应用程序或者监控流量的运行监控，也可以在执行运行时进行分析。防火墙可以找出攻击，并阻止尝试或修改的要求，来确保WEB服务器和数据库服务器的安全运行。

目前不光有WEB应用防火墙和网络防火墙能防范攻击者透过应用层和网络层的攻击；“数据库防火墙”也于这两年在不断的数据库泄密事件中出现在公众的视线里，国内称之为“数据库审计”产品，这些产品能给数据库提供实时的网络存储与访问的安全。

任何一个好的数据库安全策略都应包括监控和审计，以确保保护对象正常运行，并且运行在正确的位置上，这也是个非常耗时的过程。由于缺乏时间和工具，大多数用户对于数据库配置的检查往往也仅是抽查而已。

这里还需要指出的是目前多数人认为“数据库审计”等同于数据库安全，事实上，数据库安全远远不是数据库审计可以搞定的，数据库审计只是数据库安全的一个很小的方面，之所以有时候对等起来，一方面是由于市场宣传导致的误导，另一方面的确是这个部分的问题比较容易产品化/工具化，技术实现相对比较成熟。数据库安全应该包括：数据库资产管理、数据库配置加固、职责分离、特权用户控制、数据库弱点扫描和补丁管理、数据库加密、数据库审计。

最后，我们还是回到应用程序的安全以及与数据库之间的相互作用问题上。即我们必须要考虑到的问题是应用程序的安全以及与数据库之间的相互作用，尤其是对于当今流行的高度动态的和互动的网络应用程序而言。理解数据库与应用程序和系统环境之间的作用可以更加提升数据的安全性。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]