網(wǎng)站安全攻與防的啟示錄(10)

黑盒測試

黑盒測試是一種把軟件產(chǎn)品當成是一個黑箱的測試技術(shù)，這個黑箱有入口和出口，測試過程中只需要了解黑箱的輸入和輸出結(jié)果，不需要了解黑箱里面具體是怎樣操作的。這當然很好，因為測試人員不用費神去理解軟件里面的具體構(gòu)成和原理，測試人員只需要像用戶一樣看待軟件產(chǎn)品就行了。

例如，銀行轉(zhuǎn)賬系統(tǒng)提供給用戶轉(zhuǎn)賬的功能，則測試人員在使用黑盒測試方法時，不需要知道轉(zhuǎn)賬的具體實現(xiàn)代碼是怎樣工作的，只需要把自己當成用戶，模擬盡可能多的轉(zhuǎn)賬情況來檢查這個軟件系統(tǒng)能否按要求正常實現(xiàn)轉(zhuǎn)賬功能即可。

如果只像用戶使用和操作軟件一樣去測試軟件黑盒測試可能存在一定的風險。例如，某個安全性要求比較高的軟件系統(tǒng)，開發(fā)人員在設(shè)計程序時考慮到記錄系統(tǒng)日志的必要性，把軟件運行過程中的很多信息都記錄到了客戶端的系統(tǒng)日志中，甚至把客戶端連接服務(wù)器端的數(shù)據(jù)庫連接請求字符串也記錄到了系統(tǒng)日志中，像下面的一段字符串：

"Data Source=192.168.100.99;Initial Catalog=AccountDB;User ID=sa;PassWord=123456;

那么按照黑盒測試的觀點，這是程序內(nèi)部的行為，用戶不會直接操作數(shù)據(jù)庫的連接行為，因此檢查系統(tǒng)日志方面的測試是不會做的。這明顯構(gòu)成了一個Bug，尤其是對于安全性要求高的軟件系統(tǒng)，因為它暴露了后臺數(shù)據(jù)庫賬號信息。

有人把黑盒測試比喻成中醫(yī)，做黑盒測試的測試人員應(yīng)該像一位老中醫(yī)一樣，通過“望、聞、問、切”的方法，來判斷程序是否“有病”。這比單純的操作黑箱的方式進了一步，這種比喻給測試人員一個啟示，不要只是簡單地看和聽，還要積極地去問，積極地去發(fā)現(xiàn)、搜索相關(guān)的信息。應(yīng)該綜合應(yīng)用中醫(yī)看病的各種“技術(shù)”和理念來達到找出軟件“病癥”的目的，具體作法如下：

“望”，觀察軟件的行為是否正常；

“聞”，檢查輸出的結(jié)果是否正確；

“問”，輸入各種信息，結(jié)合“望”、“聞”來觀察軟件的響應(yīng)程度；

“切”，像中醫(yī)一樣給軟件“把脈”，敲擊一下軟件的某些“關(guān)節(jié)”。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]