背景 黑客文化的變遷

黑客技術(shù)的出現(xiàn)像計算機(jī)出現(xiàn)一樣長久，黑客通過對系統(tǒng)重配置或者重編程獲得本來沒有的權(quán)限。早期的黑客因?yàn)閷τ嬎銠C(jī)的神秘功能著迷，本著自由的精神在計算機(jī)世界里流連而不能自拔。這種自由精神一方面吸引了大批聰明的青年學(xué)生投入其中，從而在早期推動了計算機(jī)的飛速發(fā)展。

在上世紀(jì)六十年代，他們利用一些技術(shù)破壞計算機(jī)網(wǎng)絡(luò)的使用范圍，七十年代因?yàn)樘厥獾拿绹哪欠N背景，他們提出了計算機(jī)應(yīng)該為人民所用的口號，他們是電腦史上的英雄。到了八十年代，PC已經(jīng)很便宜了，美國與歐洲的經(jīng)濟(jì)得到了長足的發(fā)展，黑客們開始為信息共享而奮斗，當(dāng)時美蘇爭霸，他們認(rèn)為應(yīng)該使兩國處于平衡狀態(tài)，任何一個國家都不能過分強(qiáng)大，否則就會給新的和平帶來威脅，他們就積極聯(lián)絡(luò)各國，把通過黑客技術(shù)拿到的資料賣給各國，一方面自己獲得了經(jīng)濟(jì)收入，另一方面他們也認(rèn)為有助于世界的和平，認(rèn)為自己為世界和平作出了貢獻(xiàn)。九十年代可以說是黑客的災(zāi)難和混亂時期，作為信息共享的產(chǎn)物，INTERNET一方面為我們提供了極大的便利，另一方面，使用的人多了，技術(shù)不再是少數(shù)人的專有權(quán)力，越來越多的人都掌握了這些，導(dǎo)致了黑客的概念與行為都發(fā)生了很大的變化。

到了二十一世紀(jì)，隨著互聯(lián)網(wǎng)的高速發(fā)展以及網(wǎng)民爆發(fā)式的增長，一個黑客市場已經(jīng)形成。境外情報機(jī)構(gòu)、企業(yè)公司和犯罪團(tuán)伙都愿意付錢買下有關(guān)安全漏洞——以及如何加以利用——的信息。各種網(wǎng)絡(luò)犯罪每天充斥在我們生活當(dāng)中，黑客們通過入侵各類網(wǎng)站論壇進(jìn)行盜取用戶數(shù)據(jù)，并掛上網(wǎng)頁木馬繼續(xù)盜取訪問網(wǎng)站用戶的個人虛擬財產(chǎn)等等。

2011年度網(wǎng)絡(luò)犯罪調(diào)查報告顯示，全球每天就有100萬人成為網(wǎng)絡(luò)犯罪的受害者，全球因網(wǎng)絡(luò)犯罪造成的直接損失每年達(dá) 1140 億美元。因處理網(wǎng)絡(luò)犯罪問題而浪費(fèi)的時間價值是2740億。因此，網(wǎng)絡(luò)犯罪導(dǎo)致的損失約為3880億美元，遠(yuǎn)遠(yuǎn)超過了大麻、可卡因和海洛因全球黑市的交易總額(2880億美元)。從網(wǎng)絡(luò)犯罪受害者人數(shù)來看，中國地區(qū)的網(wǎng)絡(luò)犯罪相較于全球可能更加惡劣：去年，全球有4.31億成人遭受過網(wǎng)絡(luò)犯罪的侵害，這其中就有差不多一半的受害者(1.96億人)來自中國。黑客的網(wǎng)絡(luò)犯罪已經(jīng)達(dá)到了一個前所未有的高度。#p#

一、互聯(lián)網(wǎng)的安全威脅

從1969年區(qū)域性的大學(xué)主機(jī)相連而構(gòu)成的互聯(lián)網(wǎng)發(fā)展到今天覆蓋全球點(diǎn)點(diǎn)滴滴的強(qiáng)大互聯(lián)網(wǎng)，特別在是互聯(lián)網(wǎng)的經(jīng)濟(jì)與科技領(lǐng)域取得的顯著成果，給互聯(lián)網(wǎng)披上的神話般的面紗。如今，互聯(lián)網(wǎng)豐富了我們的生活，這所有的一切都來源于Web，Web系統(tǒng)是互聯(lián)網(wǎng)的重要組成部分，形形色色的Web系統(tǒng)正在改變著我們的生活互聯(lián)網(wǎng)應(yīng)用已經(jīng)滲透我們生活的方方面面，我們可以通過百度在線搜索想要的資料、可以通過網(wǎng)上銀行完成在線購物和支付、可以通過微博和博客發(fā)表自己的“聲音”、可以通過在線交友網(wǎng)站交到朋友。

但是由于這些WEB應(yīng)用在設(shè)計時是允許任何人、從任何地方登陸進(jìn)入訪問，因而也成為了通往隱藏在深處的重要數(shù)據(jù)的橋梁。據(jù)推算，互聯(lián)網(wǎng)至少每39秒就有一次攻擊。

國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心發(fā)布的《2011年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢報告》

2011年年底的CSDN泄密門事件導(dǎo)致國內(nèi)600萬程序員的個人信息被盜取，雖然CSDN及時修復(fù)了漏洞，警方也及時抓住了犯罪嫌疑人，但今年依然有犯罪分子通過去年CSDN泄漏的帳號密碼偷竊國內(nèi)知名電商“京東商城”的用戶賬戶，通過賬戶里的剩余資金大量購買商品。

這些曝光的安全泄密事件僅僅是個警鐘，被公開的這些網(wǎng)站的數(shù)據(jù)庫很早之前就被黑客拖庫，而且轉(zhuǎn)手買來賣去，眼下所見的都是被人榨干最后一滴水的陳年資料。誰能保證隱藏在暗處中的黑客們還有其他更多未曝光的資料呢。

那么，黑客們是如何獲取我們的重要信息，網(wǎng)站又是如何被拖庫的呢？#p#

二、黑客攻擊WEB典型案例分解

下面我們?yōu)榇蠹曳纸夂诳腿肭终叩臐B透WEB網(wǎng)站的主流手段。

假設(shè)目標(biāo)站點(diǎn)http://192.168.40.21/是一個大型綜合類網(wǎng)站，會員數(shù)目眾多。

1.鎖定目標(biāo)、搜集信息

[[93639]]

黑客入侵一個目標(biāo)站點(diǎn)的時候，首先要看該站點(diǎn)是否存在利益價值。目前黑客入侵者的商業(yè)攻擊主要針對在線購物網(wǎng)站、社交網(wǎng)站、網(wǎng)絡(luò)游戲、大型論壇、慈善機(jī)構(gòu)、電子政務(wù)、金融證券網(wǎng)站等網(wǎng)站。這些網(wǎng)站可以竊取會員用戶信息進(jìn)行社工欺騙，比如利用獲取的身份信息對用戶親屬進(jìn)行電話詐騙、利用大部分人習(xí)慣用同一個帳號密碼的習(xí)慣去嘗試登錄其他網(wǎng)站，并且這些會員信息可以多次出售專賣；黑客入侵者還可以通過入侵政府網(wǎng)站掛“黑鏈”，因?yàn)檎W(wǎng)站在搜索引擎中占據(jù)的權(quán)重較高，攻擊者可以通過此方法使自己指定的網(wǎng)站插入到政府網(wǎng)站頁面中，從而提供其在搜索引擎中的排名靠前并盈利。

黑鏈?zhǔn)荢EO手法中相當(dāng)普遍的一種手段，籠統(tǒng)地說，它就是指一些人用非正常的手段獲取的其它網(wǎng)站的反向鏈接，最常見的黑鏈就是通過各種網(wǎng)站程序漏洞獲取搜索引擎權(quán)重或者PR較高的網(wǎng)站的WEBSHELL，進(jìn)而在被黑網(wǎng)站上鏈接自己的網(wǎng)站，其性質(zhì)與明鏈一致，都是屬于為高效率提升排名，而使用的作弊手法。

#p#

在確定目標(biāo)后，黑客入侵者就會搜集該目標(biāo)站點(diǎn)的相關(guān)信息，一次入侵的成功與前期的信息收集關(guān)系很大。搜集信息可以讓入侵起到事半功倍的效果，只經(jīng)過一些簡單的操作就可以得到一些服務(wù)器的Webshell，甚至于系統(tǒng)管理權(quán)限,搜集信息一般分為三種：

①工具掃描：黑客入侵者會使用各種掃描工具對入侵目標(biāo)進(jìn)行大規(guī)模掃描，得到系統(tǒng)信息和運(yùn)行的服務(wù)信息，如對方所使用的操作系統(tǒng)、開放了哪些端口、存在哪些漏洞。典型的掃描工具有：

Nmap掃描目標(biāo)網(wǎng)站端口開放信息

②社會工程攻擊：利用各種查詢手段得到與被入侵目標(biāo)相關(guān)的一些信息，通常通過這種方式得到的信息，會被社會工程學(xué)這種入侵手法用到，而且社會工程學(xué)入侵手法也是最難察覺和防范的。

社會工程學(xué)（Social Engineering）：通常是利用大眾的疏于防范的詭計，讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式，從合法用戶中套取敏感的信息，例如：用戶名單、用戶密碼及網(wǎng)絡(luò)結(jié)構(gòu)，即使很警惕很小心的人，一樣也有可能被高明的社會工程學(xué)手段損害利益，可以說是防不勝防。網(wǎng)絡(luò)安全是一個整體，對于某個目標(biāo)在久攻不下的情況下，黑客會把矛頭指向目標(biāo)的系統(tǒng)管理員，因?yàn)槿嗽谶@個整體中往往是最不安全的因素，黑客通過搜索引擎對系統(tǒng)管理員的一些個人信息進(jìn)行搜索，比如電子郵件地址、MSN、QQ等關(guān)鍵詞，分析出這些系統(tǒng)管理員的個人愛好，常去的網(wǎng)站、論壇，甚至個人的真實(shí)信息。然后利用掌握的信息與系統(tǒng)管理員拉關(guān)系套近乎，騙取對方的信任，使其一步步落入黑客設(shè)計好的圈套，最終造成系統(tǒng)被入侵。這也就是我們常說的“沒有絕對的安全，只有相對的安全，只有時刻保持警惕，才能換來網(wǎng)絡(luò)的安寧”。

③公開域信息：主要通過Google Hacking和Whios等手段獲取信息。

Google Hacking：指利用Google Google搜索引擎搜索信息來進(jìn)行入侵的技術(shù)和行為，不少入侵者利用Google強(qiáng)大的搜索功能來搜索某些關(guān)鍵詞，找到有系統(tǒng)漏洞和Web漏洞的服務(wù)器，打造成自己的肉雞。

敏感的信息包括：

目標(biāo)站點(diǎn)的信息

已丟失信息的追回

存儲密碼的文件

后臺管理和上傳文件的 Web 頁

數(shù)據(jù)庫

特定擴(kuò)展名的文件

特定的Web程序，如論壇

Whios：Whois協(xié)議，是一種信息服務(wù)，通過向服務(wù)器的TCP端口43建立一個連接后，對輸入的關(guān)鍵詞進(jìn)行查詢，能夠提供有關(guān)所有DNS域和負(fù)責(zé)各個域的系統(tǒng)管理員數(shù)據(jù)，其中記錄著每個互連網(wǎng)站點(diǎn)的詳細(xì)信息，其中包括域名、服務(wù)器地址、聯(lián)絡(luò)人、電話號碼和地址。我們可以以Web方式查詢，比如到http://whois.www.net.cn/或者h(yuǎn)ttp://whois.webhosting.info查詢，假設(shè)我們要查詢www.baidu.com的域名信息，我們到http://whois.www.net.cn/查詢的結(jié)果如圖：

通過上面的介紹我們對黑客攻擊前的踩點(diǎn)和信息搜集有了認(rèn)識，目前我們已經(jīng)得知目標(biāo)站點(diǎn)http://192.168.40.21/主要開放了HTTP 80端口，遠(yuǎn)程登錄RDP 3389端口；服務(wù)器采用的WINDOWS系統(tǒng)，中間件使用的Apache Tomcat，網(wǎng)站腳本語言用的JSP。#p#

2、深入攻擊階段

利用SQL注入“拖庫”

在深入攻擊的過程中，首先攻擊者需要找到一個動態(tài)鏈接的URL看是否存在SQL注入漏洞，例如現(xiàn)在找到一個http://192.168.40.21/news.jsp?id=127,通過簡單的注入嘗試語句發(fā)現(xiàn)該URL確實(shí)存在SQL注入漏洞，攻擊者一般為了節(jié)省時間都會使用工具來促進(jìn)效率。

通過工具攻擊者獲取到了服務(wù)器的環(huán)境變量，數(shù)據(jù)庫結(jié)構(gòu)，并且獲取了該網(wǎng)站的所有用戶數(shù)據(jù)，共7580條用戶數(shù)據(jù)信息，這個獲取用戶數(shù)據(jù)的過程就是我們常說的“拖庫”。

拖庫：拖庫一詞多用于數(shù)據(jù)庫程序員專業(yè)人士使用，語意：從數(shù)據(jù)庫導(dǎo)出數(shù)據(jù)。很多時候數(shù)據(jù)庫的資料需要導(dǎo)出來在別的地方使用，并且數(shù)據(jù)庫資料可以導(dǎo)出好幾種格式，例如：TXT，XLS等格式。黑客攻擊者拖庫最簡單的形式就是找SQL注入點(diǎn)直接寫工具拖。

拖庫的危害：根據(jù)資料顯示部分網(wǎng)民習(xí)慣為郵箱、微博、游戲、網(wǎng)上支付、購物等帳號設(shè)置相同密碼，一旦數(shù)據(jù)庫被泄漏，所有的用戶資料被公布于眾，任何人都可以拿著密碼去各個網(wǎng)站去嘗試登錄，對一些敏感的金融行業(yè)是致命的危害，對普通用戶可能造成財產(chǎn)，個人隱私的損失或泄漏。

“拖庫”完成后如果還想擴(kuò)大攻擊范圍，我們可以繼續(xù)嘗試其他攻擊手段，獲取WEBshell。

WEBshell：“web”的含義是顯然需要服務(wù)器開放web服務(wù)，“shell”的含義是取得對服務(wù)器某種程度上操作權(quán)限。webshell常常被稱為匿名用戶（入侵者）通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動態(tài)腳本的形式出現(xiàn)，也有人稱之為網(wǎng)站的后門工具。#p#

利用FCKeditor編輯器漏洞獲取WEBshell

現(xiàn)在打開網(wǎng)站先注冊一個會員賬戶testweb,在用戶管理中信——投稿管理——發(fā)布稿件的地方發(fā)現(xiàn)該網(wǎng)站使用了一款名為FCKeditor在線編輯器。FCKeditor是一款在線編輯器，能夠在線進(jìn)行文字和圖片的編輯等工作，通常會作為一個編輯部件嵌入其他的一些程序中。我們平時泡論壇，寫博客，經(jīng)常可以在網(wǎng)頁中對我們的文字或圖片進(jìn)行簡單的編輯。FCKeditor的應(yīng)用十分廣泛，但是漏洞也非常多。

現(xiàn)在來測試下FCKeditor最為普遍的上傳漏洞。打開圖片上傳選項(xiàng)，然后選擇準(zhǔn)備好的JSP木馬上傳，發(fā)現(xiàn)被禁止上傳圖片文件格式以外的文件。不過它在上傳文件判斷的時候采用的是本地驗(yàn)證后綴名方式，所以攻擊者可以通過代理工Burpsuitepro來進(jìn)行上傳，先修改JSP木馬的后綴為JPG圖片格式，比如把1.jsp改為2.jpg；然后Burpsuitepro抓包阻斷上傳的內(nèi)容，把上傳的2.jpg再改回1.jsp，從而繞過網(wǎng)站編輯器本地驗(yàn)證的過程，成功上傳文件得到一個Webshell。

 圖 利用工具抓包修改上傳內(nèi)容

圖 成功上傳JSP木馬，得到一個WEBshell

#p#

利用WEBshel獲取服務(wù)器系統(tǒng)權(quán)限

利用WEBshell先查看下網(wǎng)站的配置文件，看是否有可以利用的資源。

圖 網(wǎng)站配置文件

上圖的配置文件可以看到網(wǎng)站的數(shù)據(jù)庫服務(wù)器的地址及帳號密碼，如果數(shù)據(jù)庫服務(wù)器沒有做安全防護(hù)配置，攻擊者就可以直接通過獲取到的信息鏈接到數(shù)據(jù)庫服務(wù)器導(dǎo)出網(wǎng)站的全部數(shù)據(jù)。

現(xiàn)在再看看網(wǎng)站的賬戶權(quán)限，在WEBshell中執(zhí)行cmd命令：whoami

得到的反饋結(jié)果是“nt authority\system”，現(xiàn)在可以判斷網(wǎng)站本身的權(quán)限是服務(wù)器系統(tǒng)管理員權(quán)限，攻擊者就可以執(zhí)行添加系統(tǒng)用戶的命令：

◆Net user hacker hacker /add 添加用戶名是hacker密碼也是hacker的普通用戶

◆Net localgroup administrators hacker /add 講hacker賬戶的權(quán)限提升為管理員權(quán)限

圖 添加帳號hacker

圖 提升hacker的權(quán)限

之前在搜集信息的時候就得知網(wǎng)站服務(wù)器開放了遠(yuǎn)程登錄3389端口，現(xiàn)在攻擊者就用剛剛添加的管理員hacker帳號登錄服務(wù)器。

現(xiàn)在攻擊者已經(jīng)成功登錄網(wǎng)站服務(wù)器。

#p#

惡意篡改網(wǎng)頁

現(xiàn)在整個網(wǎng)站和服務(wù)器都在攻擊者的掌控之中，攻擊者可以隨意刪除、修改、增加網(wǎng)頁，插入網(wǎng)頁木馬等?，F(xiàn)在假設(shè)攻擊者要令網(wǎng)站首頁成為黑頁。

黑頁：一些計算機(jī)被入侵后，入侵者為了證明自己的存在，對網(wǎng)站主頁（在服務(wù)器開放WEB服務(wù)的情況下） 進(jìn)行改寫，從而公布入侵者留下的信息，這樣的網(wǎng)頁通常稱為黑頁。

入侵者對網(wǎng)站主頁的破壞，無疑會給網(wǎng)站帶來經(jīng)濟(jì)、信譽(yù)等等方面的損失。

同時另一方面?zhèn)鞑ブ肭终吡粝碌膸в胸?fù)面影響的信息或者病毒，嚴(yán)重影響網(wǎng)絡(luò)安全。#p#

三、WEB應(yīng)用安全與數(shù)據(jù)庫安全的防護(hù)

前面我們已經(jīng)了解了黑客是如何入侵竊取我們的數(shù)據(jù)并破壞網(wǎng)站的過程，所以我們對WEB應(yīng)用安全的威脅應(yīng)該采取積極防御并及時解決的態(tài)度。

首先我們要了解為什么網(wǎng)站會出現(xiàn)這么多的問題這么多的漏洞：由于某些開發(fā)人員犯了非常低級的編程錯誤，比如：應(yīng)用ID只能被應(yīng)用使用，而不能被單獨(dú)的用戶或是其它進(jìn)程使用。但是開發(fā)人員不這么做，他們給予了應(yīng)用程序更多的數(shù)據(jù)訪問權(quán)限。這就類似于醫(yī)生因沒有洗手而傳播了傳染病，從而導(dǎo)致各種漏洞的出現(xiàn)。

我們必須接受已經(jīng)存在的應(yīng)用缺陷和漏洞。通過發(fā)揮數(shù)據(jù)庫管理員的安全職責(zé)去阻止因?yàn)閼?yīng)用缺陷和漏洞所造成的不良后果。如果開發(fā)人員不重視應(yīng)用與數(shù)據(jù)交互的安全性，堅持最小權(quán)限原則，數(shù)據(jù)庫管理員則有權(quán)在這場互動中占取主動，不給開發(fā)人員全權(quán)委托，數(shù)據(jù)庫管理員可以不允許那么多的交互被授權(quán)；為了阻止黑客的滲透攻擊從不可避免的網(wǎng)絡(luò)程序應(yīng)用漏洞中占便宜，數(shù)據(jù)庫管理員也有權(quán)進(jìn)行其他有效的安全控制。并且數(shù)據(jù)庫管理員應(yīng)對數(shù)據(jù)庫進(jìn)行加密保護(hù)，如密碼不能使用明文保存；對所有應(yīng)用層和數(shù)據(jù)層通信的審計監(jiān)控將有助于快速識別和解決問題以及準(zhǔn)確地判斷任何安全事件的范圍，直到實(shí)現(xiàn)安全風(fēng)險最小化的目標(biāo)。

假如出現(xiàn)數(shù)據(jù)外泄事件（如2011年年底的CSDN等網(wǎng)站的用戶數(shù)據(jù)信息泄密事件），責(zé)任也不止是在數(shù)據(jù)庫管理員身上，開發(fā)人員也需要共同承擔(dān)責(zé)任。其中一個非常重要的方面，開發(fā)人員能做的就是在用戶能輸入的地方最好過濾危險字符，這樣可以防止黑客通過諸如SQL注入攻擊獲取到數(shù)據(jù)庫的敏感信息。目前在各類行業(yè)網(wǎng)站上，各種WEB應(yīng)用漏洞隨處可見，可以被黑客們檢測到（他們一般會用軟件同時掃描數(shù)千個網(wǎng)站）。

開發(fā)人員在完成一套新的應(yīng)用程序后應(yīng)使用安全檢測工具對其進(jìn)行反復(fù)白盒測試，有條件的情況下可以請信息安全人員模擬黑客進(jìn)行黑盒滲透測試，盡可能的發(fā)現(xiàn)應(yīng)用程序的弱點(diǎn)并進(jìn)行修補(bǔ)。如果想實(shí)現(xiàn)更完整的解決方案，更多有關(guān)的保護(hù)數(shù)據(jù)和數(shù)據(jù)庫是應(yīng)當(dāng)實(shí)施源代碼分析。這是一項(xiàng)冗長的處理過程，可以請安全服務(wù)提供商用專業(yè)的源碼審計軟件對應(yīng)用程序代碼進(jìn)行詳細(xì)的分析處理，這些工具會直接查找出更精確的缺陷結(jié)果。

同時應(yīng)該與開發(fā)商或者安全廠商合作并確保能提供安全解決方案，這對于任何致力于部署網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)庫正常安全訪問的用戶都至關(guān)重要，WEB應(yīng)用安全測試對于確保數(shù)據(jù)庫的安全性有至關(guān)重要的作用。

一款好的工具可以有助于加快進(jìn)度并且提供更好的檢測結(jié)果和解決方案，以提供應(yīng)用程序更好的的安全性，關(guān)鍵是進(jìn)行反復(fù)評估以確保管理工作正常，對結(jié)果實(shí)施驗(yàn)證并加固，確保風(fēng)險一經(jīng)發(fā)現(xiàn)立即補(bǔ)救，并保證管理人員能夠了解到相關(guān)問題的存在。#p#

黑盒測試

黑盒測試是一種把軟件產(chǎn)品當(dāng)成是一個黑箱的測試技術(shù)，這個黑箱有入口和出口，測試過程中只需要了解黑箱的輸入和輸出結(jié)果，不需要了解黑箱里面具體是怎樣操作的。這當(dāng)然很好，因?yàn)闇y試人員不用費(fèi)神去理解軟件里面的具體構(gòu)成和原理，測試人員只需要像用戶一樣看待軟件產(chǎn)品就行了。

例如，銀行轉(zhuǎn)賬系統(tǒng)提供給用戶轉(zhuǎn)賬的功能，則測試人員在使用黑盒測試方法時，不需要知道轉(zhuǎn)賬的具體實(shí)現(xiàn)代碼是怎樣工作的，只需要把自己當(dāng)成用戶，模擬盡可能多的轉(zhuǎn)賬情況來檢查這個軟件系統(tǒng)能否按要求正常實(shí)現(xiàn)轉(zhuǎn)賬功能即可。

如果只像用戶使用和操作軟件一樣去測試軟件黑盒測試可能存在一定的風(fēng)險。例如，某個安全性要求比較高的軟件系統(tǒng)，開發(fā)人員在設(shè)計程序時考慮到記錄系統(tǒng)日志的必要性，把軟件運(yùn)行過程中的很多信息都記錄到了客戶端的系統(tǒng)日志中，甚至把客戶端連接服務(wù)器端的數(shù)據(jù)庫連接請求字符串也記錄到了系統(tǒng)日志中，像下面的一段字符串：

"Data Source=192.168.100.99;Initial Catalog=AccountDB;User ID=sa;PassWord=123456;

那么按照黑盒測試的觀點(diǎn)，這是程序內(nèi)部的行為，用戶不會直接操作數(shù)據(jù)庫的連接行為，因此檢查系統(tǒng)日志方面的測試是不會做的。這明顯構(gòu)成了一個Bug，尤其是對于安全性要求高的軟件系統(tǒng)，因?yàn)樗┞读撕笈_數(shù)據(jù)庫賬號信息。

有人把黑盒測試比喻成中醫(yī)，做黑盒測試的測試人員應(yīng)該像一位老中醫(yī)一樣，通過“望、聞、問、切”的方法，來判斷程序是否“有病”。這比單純的操作黑箱的方式進(jìn)了一步，這種比喻給測試人員一個啟示，不要只是簡單地看和聽，還要積極地去問，積極地去發(fā)現(xiàn)、搜索相關(guān)的信息。應(yīng)該綜合應(yīng)用中醫(yī)看病的各種“技術(shù)”和理念來達(dá)到找出軟件“病癥”的目的，具體作法如下：

“望”，觀察軟件的行為是否正常；

“聞”，檢查輸出的結(jié)果是否正確；

“問”，輸入各種信息，結(jié)合“望”、“聞”來觀察軟件的響應(yīng)程度；

“切”，像中醫(yī)一樣給軟件“把脈”，敲擊一下軟件的某些“關(guān)節(jié)”。

#p#

白盒測試

如果把黑盒測試比喻成中醫(yī)看病，那么白盒測試無疑就是西醫(yī)看病了。測試人員采用各種儀器和設(shè)備對軟件進(jìn)行檢測，甚至把軟件擺上手術(shù)臺解剖來看個究竟。白盒測試是一種以理解軟件內(nèi)部結(jié)構(gòu)和程序運(yùn)行方式為基礎(chǔ)的軟件測試技術(shù)，通常需要跟蹤一個輸入經(jīng)過了哪些處理，這些處理方式是否正確。

在很多測試人員，尤其是初級測試人員看來，白盒測試是一種只有非常了解程序代碼的高級測試人員才能做的測試。熟悉代碼結(jié)構(gòu)和功能實(shí)現(xiàn)的過程當(dāng)然對測試有很大的幫助，但是從黑盒測試與白盒測試的區(qū)別可以看出，有些白盒測試是不需要測試人員懂得每一行程序代碼的。

如果把軟件看成一個黑箱，那么白盒測試的關(guān)鍵是給測試人員戴上一副X光透視眼鏡，測試人員通過這副X光透視眼鏡可以看清楚輸入到黑箱中的數(shù)據(jù)是怎樣流轉(zhuǎn)的。

一些測試工具就像醫(yī)院的檢測儀器一樣，可以幫助了解程序的內(nèi)部運(yùn)轉(zhuǎn)過程。例如，對于一個與SQL Server數(shù)據(jù)庫連接的軟件系統(tǒng)，可以簡單地把程序的作用理解為：把用戶輸入的數(shù)據(jù)通過SQL命令請求后臺數(shù)據(jù)庫，數(shù)據(jù)庫把請求的數(shù)據(jù)返回給程序的界面層展示給用戶?？梢园裇QL Server自帶的工具事件探查器當(dāng)成是一個檢查SQL數(shù)據(jù)傳輸?shù)木軆x器，它可以記錄軟件客戶端與服務(wù)器數(shù)據(jù)庫之間交互的一舉一動，從而讓測試人員可以洞悉軟件究竟做了哪些動作。

在測試過程中，應(yīng)該綜合應(yīng)用黑盒測試方法和白盒測試方法，按需要采用不同的技術(shù)組合。不要用黑盒測試方法和白盒測試方法來劃分自己屬于哪一類測試人員，一名優(yōu)秀的測試人員應(yīng)該懂得各種各樣的測試技術(shù)和查找Bug的手段。

最后我們談?wù)勑碌姆阑饓栴}。到目前為止，我們都是側(cè)重于預(yù)防措施。但在現(xiàn)實(shí)世界中，我們不可能總是改編程序和環(huán)境，所以我們必須采用其他技術(shù)措施。這就是為什么會產(chǎn)生新的防火墻。

防火墻用于應(yīng)用程序或者監(jiān)控流量的運(yùn)行監(jiān)控，也可以在執(zhí)行運(yùn)行時進(jìn)行分析。防火墻可以找出攻擊，并阻止嘗試或修改的要求，來確保WEB服務(wù)器和數(shù)據(jù)庫服務(wù)器的安全運(yùn)行。

目前不光有WEB應(yīng)用防火墻和網(wǎng)絡(luò)防火墻能防范攻擊者透過應(yīng)用層和網(wǎng)絡(luò)層的攻擊；“數(shù)據(jù)庫防火墻”也于這兩年在不斷的數(shù)據(jù)庫泄密事件中出現(xiàn)在公眾的視線里，國內(nèi)稱之為“數(shù)據(jù)庫審計”產(chǎn)品，這些產(chǎn)品能給數(shù)據(jù)庫提供實(shí)時的網(wǎng)絡(luò)存儲與訪問的安全。

任何一個好的數(shù)據(jù)庫安全策略都應(yīng)包括監(jiān)控和審計，以確保保護(hù)對象正常運(yùn)行，并且運(yùn)行在正確的位置上，這也是個非常耗時的過程。由于缺乏時間和工具，大多數(shù)用戶對于數(shù)據(jù)庫配置的檢查往往也僅是抽查而已。

這里還需要指出的是目前多數(shù)人認(rèn)為“數(shù)據(jù)庫審計”等同于數(shù)據(jù)庫安全，事實(shí)上，數(shù)據(jù)庫安全遠(yuǎn)遠(yuǎn)不是數(shù)據(jù)庫審計可以搞定的，數(shù)據(jù)庫審計只是數(shù)據(jù)庫安全的一個很小的方面，之所以有時候?qū)Φ绕饋恚环矫媸怯捎谑袌鲂麄鲗?dǎo)致的誤導(dǎo)，另一方面的確是這個部分的問題比較容易產(chǎn)品化/工具化，技術(shù)實(shí)現(xiàn)相對比較成熟。數(shù)據(jù)庫安全應(yīng)該包括：數(shù)據(jù)庫資產(chǎn)管理、數(shù)據(jù)庫配置加固、職責(zé)分離、特權(quán)用戶控制、數(shù)據(jù)庫弱點(diǎn)掃描和補(bǔ)丁管理、數(shù)據(jù)庫加密、數(shù)據(jù)庫審計。

最后，我們還是回到應(yīng)用程序的安全以及與數(shù)據(jù)庫之間的相互作用問題上。即我們必須要考慮到的問題是應(yīng)用程序的安全以及與數(shù)據(jù)庫之間的相互作用，尤其是對于當(dāng)今流行的高度動態(tài)的和互動的網(wǎng)絡(luò)應(yīng)用程序而言。理解數(shù)據(jù)庫與應(yīng)用程序和系統(tǒng)環(huán)境之間的作用可以更加提升數(shù)據(jù)的安全性。