» Блоги

Особенности проведения тестирования безопасности

Безопасность приложений

Тестирование безопасности является одной из разновидностей тестирования, направленной на минимизацию рисков, связанных с целостностью защиты системы. При тестировании безопасности обязательно проверяется сопротивляемость приложения атакам вирусов или хакеров. При этом создаются условия, имитирующие взлом системы или несанкционированный доступ к данным конфиденциального характера.

Принципы безопасности WEB-приложения

Безопасность приложений

Любое тестирование безопасности ставит перед собой цель найти и обезвредить все имеющиеся риски, представляющие явную угрозу для приложения, и предотвратить потерю данных. При этом тестирование веб приложений основывается на следующих принципах:

  • анализ защиты конфиденциальности данных, возможность ограничения доступа определенных категорий пользователей к отдельной информации;
  • проверка целостности информации, включающая возможность приложения самостоятельно восстанавливаться при повреждении отдельных сегментов или внесении изменений;
  • доступность и степень защиты информации зависят от вида тестируемого приложения. В случае если оно относится к критичным программам, уровень доступности должен быть довольно высоким.

Разновидности опасностей для WEB-приложений

Тестирование безопасности призвано обезвредить ошибки, которые угрожают приложению, поэтому необходимо знать самые распространенные риски.

Приложения Android

  • Скрипт Cross-Site – один из самых распространенных вредоносных уязвимостей, генератор активации WEB-страниц, целью которых является атака пользователя или захват его конфиденциальных данных.
  • Request Forgery – это многоэтапный тип уязвимости, состоящий из ссылки на рейтинговом сайте и вредоносного кода, захватывающего пароли и данные из платежных систем. Эта уязвимость широко применяется для взлома приложений в социальных сетях (рассылка спама от лица пользователя, массовые приглашения в группы).
  • Code injections – это сильная уязвимость, на поиски которой направлено тестирование веб приложений. Она способна вывести приложение из строя, так как имеет доступ не только к персональным, но и системным данным.
  • Серверная команда Server-Side Includes (SSI) Injection осуществляет запуск вредоносного кода.
  • Захват идентификационных данных Authorization Bypass позволяет получить доступ к имени и паролю пользователя, а также всем его документам.