43
2008.02
测试项目预期结果针对安全威胁
登录时截取网络数据包鉴别数据应加密网络窃听
做两次完全相同的登录,分别截取网络数据包鉴别数据应加密,且两次
密文无明显关联。
重放攻击
连续尝试口令猜测应在一定次数后中断会话暴力猜测分别以错误的用户名和错
误的口令登录
反馈应相同暴力猜测
以“User2’--”或“’or1=1--”登录非法用户名
SQ L注入导致
鉴别过程中断
输入验证测试不应只在客户端有输入验
证,如使用JavaScript
验证旁路
口令输入或查询显示不显示窥探在U RL或登录表单尝试输
入特殊数据集,如表4和表5所示无异常反应
构建故障注入
(缓冲区溢
出、表结构泄
露、访问控制
旁路等)表3
对象元字符
Perl$%#/00 HTML<>
SQL-;’”’
OS./%00*|‘’Web服务器../%00
C和C++%00
表4元字符示意
测试类型字符串
长字符串AAA…(10000个字符)
超长字符串AAA…(100000个字符)
格式化字符串%n%n…(200个字符)
%25n%25n…(200个字符)
%x%x…(200个字符)
路径遍历../../../../../../../../../../../../etc/password
../../../../../../../../../../../../etc/password%00
../../../../../../../../../../../../boot.ini
../../../../../../../../../../../../boot.ini%00单字符串.
\
/
$
-
%
;
,
*
%00
%01%02%03%04%0a%0d%0a SQL注入’sqlattempt1
’+sqlattempt2
’sqlattempt3;
(sqlattempt4)
跨站执行脚本
从这个实例不难看出,常规测试与安全性测试都是属于抽查。常规测试基于一些基本的测试方法,而安全性测试则更偏重于经验。两者是相辅相成的,只有两方面都做好了,才能满足一个安全产品对测试的需求。(责编张岩)
表5测试字符串示例
全威胁,制定信息安全测试项目。由于是黑盒测试,其手段
带有探测和尝试的性质。由于种种原因,这在产品自我测试
时往往会被忽略,而信息安全测评时恰恰是重点。
磁盘阵列的
数据安全隐患与数据修复
■国家信息中心数据修复中心蔡平
引言
采用磁盘阵列技术的数据存储设备(简称磁盘阵列)逻辑上将多个磁盘作为一个磁盘驱动器来使用,具有容量大,速度快,安全可靠诸多优点,成为大型信息系统存储数据的最佳选择。特别是级别为RAID5的磁盘阵列(简称RA ID5)使用奇偶校验技术提供数据冗余信息,当磁盘阵列中某块磁盘出现故障时能够利用分布在其它磁盘上的数据和数据的冗余信息完整地合成RAID5上的全部数据,使系统的安全可靠性得到很大改善,成为人们采用磁盘阵列存储数据时首选的工作模式。但是,使用磁盘阵列技术并不意味着可以高枕无忧,实际应用中在采用RAID5模式的磁盘阵列中数据损坏和丢失的情况却仍然时有发生。
通过对磁盘阵列数据损坏的原因进行分析,我们意识到在RAID5系统运行和维护过程中存在着一些数据信息的安全隐患。我们认为应该在管理方法和技术手段上采取一些有针对性的预防和补救保护措施,进一步做好信息安全工作。
磁盘阵列信息数据安全隐患,可能来自多方面,如系统管理、实际操作、故障处理以及数据修复过程。安全隐患的