РУКОВОДСТВО ПО ТЕСТИРОВАНИЮ БЕЗОПАСНОСТИ | МАТЕРИАЛ ДЛЯ ТЕСТИРОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

РУКОВОДСТВО ПО ТЕСТИРОВАНИЮ БЕЗОПАСНОСТИ | МАТЕРИАЛЫ ДЛЯ ТЕСТИРОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

В этом Учебное пособие по тестированию безопасности, мы изучим следующее

Что такое тестирование безопасности?

Тестирование безопасности — это процесс, чтобы определить, защищает ли система данные и поддерживает ли функциональность, как предполагалось.

Это тип тестирования программного обеспечения, целью которого является обнаружение всех возможных лазеек и слабых мест системы на самом начальном этапе, чтобы избежать непостоянной производительности системы, неожиданного сбоя , потеря информации, потеря дохода, потеря доверия клиентов.

Это относится к нефункциональному тестированию.

Мы можем проводить это тестирование, используя как ручные, так и автоматизированные инструменты и методы тестирования безопасности. Тестирование безопасности проверяет существующую систему на наличие уязвимостей.

Большинство компаний тестируют безопасность на недавно развернутом или разработанном программном обеспечении, аппаратном обеспечении, а также в сетевой или информационной среде. Но эксперты настоятельно рекомендуют проводить тестирование безопасности как часть процесса аудита информационной системы существующей среды информационной системы для выявления всех возможных угроз безопасности и помощи разработчикам в их устранении.

Каковы основные направления тестирования безопасности

Ниже приведены четыре основных направления, которые следует учитывать при тестировании безопасности веб-приложений.

Сетевая безопасность:

strong>

Тестерам приходится искать уязвимости в сетевой инфраструктуре (ресурсы и политики).

Безопасность системного программного обеспечения:

Тестировщики должны оценить слабые места в различном программном обеспечении, таком как операционные системы, базы данных и другое связанное программное обеспечение, от которого зависит приложение.

Безопасность клиентского приложения:

Чтобы убедиться, что клиентский браузер и связанные с ним инструменты не подвергаются манипуляциям.

Безопасность приложений на стороне сервера:

Чтобы убедиться, что сервер и связанные с ним технологии достаточно надежны, чтобы блокировать любые уязвимости.

Каковы принципы тестирования безопасности?

Он нацелен на охват следующих основных компонентов безопасности

  1. Аутентификация
  2. Авторизация
  3. Доступность
  4. Конфиденциальность
  5. Целостность
  6. Неотказуемость

Почему важно тестирование безопасности?

Тестирование безопасности программного обеспечения важно из-за увеличения количества нарушений конфиденциальности, с которыми сегодня сталкиваются веб-сайты. Чтобы избежать этих нарушений конфиденциальности, организации-разработчики программного обеспечения должны внедрить это тестирование в свою стратегию разработки на основе методологий тестирования и последних отраслевых стандартов.

Важно внедрить процесс безопасности на каждом этапе SDLC.< /p>

  • Этап требований: Анализ безопасности всех требований
  • Этап проектирования: Реализация плана тестирования, включая тесты безопасности.
  • < strong>Код и модульное тестирование: Тестирование белого ящика безопасности
  • Интеграционное тестирование: Тестирование черного ящика
  • Тестирование системы:Тестирование черного ящика и сканирование уязвимостей
  • Внедрение системного тестирования: Тестирование на проникновение и сканирование уязвимостей
  • Поддержка: анализ последствий

Основные уязвимости:

Тесты безопасности включают проверку на наличие уязвимостей, таких как

  • Внедрение SQL
  • Межсайтовый скриптинг (XSS)
  • Управление сеансом
  • Сбой аутентификации
  • Подделка межсайтовых запросов (CSRF)
  • Неправильная настройка безопасности
  • Невозможность ограничить доступ к URL-адресу
  • Защищенное раскрытие данных
  • Небезопасная прямая ссылка на объект
  • Отсутствие контроля доступа на функциональном уровне
  • Использование компонентов с известными уязвимостями
  • Непроверенные перенаправления и перенаправления

Какие существуют типы тестирования безопасности

Существует семь основных типов тестирования безопасности, которые представлены ниже.

РУКОВОДСТВО ПО ТЕСТИРОВАНИЮ БЕЗОПАСНОСТИ | МАТЕРИАЛЫ ДЛЯ ТЕСТИРОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Сканирование уязвимостей :

При сканировании уязвимостей (также известном как оценка уязвимостей) мы просто выявляем уязвимость и сообщаем об уязвимости с помощью инструментов сканирования уязвимостей.

Это первый шаг к повышению безопасности системы.

p>

Отчет об оценке уязвимости должен содержать заголовок, описание и серьезность уязвимости.

Проверка безопасности:

Сканирование системы безопасности выполняется для поиска слабых мест в безопасности сети и системы, а также предоставляет решения для снижения этих рисков. test), мы выявляем уязвимости и пытаемся использовать их с помощью инструментов тестирования на проникновение. Мы повторяем одни и те же тесты на проникновение, пока система не даст отрицательный результат на все эти тесты.

Тестирование на проникновение можно разделить на три метода, такие как ручное тестирование на проникновение, автоматическое тестирование на проникновение и сочетание ручного и автоматического тестирования на проникновение.

Подробнее о Pen Методы тестирования

Оценка рисков.

Оценка рисков включает в себя рассмотрение и анализ угроз безопасности, которые впоследствии будут иметь низкий, средний и высокий приоритет. Он также рекомендует возможные способы предотвращения рисков.

Аудит безопасности:

Аудит безопасности — это процедура определения недостатков безопасности. Это внутренняя проверка систем для выявления недостатков безопасности. В некоторых случаях аудит проводится путем построчной проверки кода.

Этический взлом:

Этический взлом выполняется в системе с целью найти и раскрыть безопасность. проблемы в системе. Этический взлом осуществляется хакером в белой шляпе. Белый хакер — это специалист по безопасности, который использует свои навыки законным образом для выявления дефектов системы.

Подробнее: Типы хакеров

Оценка состояния:

Оценка состояния – это сочетание сканирования безопасности, этического взлома и оценки рисков для представления состояния безопасности системы или организации.

Методы тестирования безопасности

Техники/методологии, используемые при тестировании безопасности, следующие.

Тестирование черного ящика:

В черном ящике тестировщики авторизованы. провести тестирование всего, что касается топологии сети и технологии.

Тестирование серого ящика.

При тестировании серого ящика тестировщикам предоставляется частичная информация о системе. Это гибрид моделей белого и черного ящиков.

Тестирование Tiger Box:

Оно выполняется в системе, которая имеет набор операционных систем и хакерских инструментов. Это помогает тестировщикам безопасности проводить оценку уязвимостей и атак.

Инструменты тестирования безопасности:

Для поиска недостатков и уязвимостей в веб-приложении на рынке доступно множество бесплатных, платных инструментов и инструментов с открытым исходным кодом. Мы знаем, что преимущество инструментов с открытым исходным кодом заключается в том, что мы можем легко настроить их в соответствии с нашими требованиями. Мы здесь, чтобы продемонстрировать некоторые из 12 лучших инструментов тестирования безопасности с открытым исходным кодом.

Мы используем эти инструменты тестирования для проверки того, как защитить веб-сайт или веб-приложение.

Инструменты тестирования безопасности с открытым исходным кодом:< /strong>

Некоторыми из инструментов с открытым исходным кодом являются Zed Attack Proxy, Wfuzz, Wapiti и т. д.

Коммерческие инструменты тестирования безопасности:

Некоторыми из коммерческих инструментов являются GrammaTech, Appscan, Veracode и т. д.

Чтобы узнать больше, вы также можете посетить сайт OWASP (Открытый проект безопасности веб-приложений).

Вывод:< /strong>

Мы знаем, насколько важно тестирование безопасности в наши дни. Он направлен на выявление всех возможных лазеек и слабых мест системы. Тестировщики играют роль злоумышленника, чтобы обнаружить ошибки, связанные с безопасностью в системе.

Если у вас есть какие-либо вопросы, оставьте комментарий ниже.

TAG: qa

От QA genius

Adblock
detector