Особенности проведения тестирования безопасности
Тестирование безопасности является одной из разновидностей тестирования, направленной на минимизацию рисков, связанных с целостностью защиты системы. При тестировании безопасности обязательно проверяется сопротивляемость приложения атакам вирусов или хакеров.
При этом создаются условия, имитирующие взлом системы или несанкционированный доступ к данным конфиденциального характера.
Принципы безопасности WEB-приложения
Любое тестирование безопасности ставит перед собой цель найти и обезвредить все имеющиеся риски, представляющие явную угрозу для приложения, и предотвратить потерю данных. При этом тестирование веб приложений основывается на следующих принципах:
- анализ защиты конфиденциальности данных, возможность ограничения доступа определенных категорий пользователей к отдельной информации;
- проверка целостности информации, включающая возможность приложения самостоятельно восстанавливаться при повреждении отдельных сегментов или внесении изменений;
- доступность и степень защиты информации зависят от вида тестируемого приложения. В случае если оно относится к критичным программам, уровень доступности должен быть довольно высоким.
Разновидности опасностей для WEB-приложений
Тестирование безопасности призвано обезвредить ошибки, которые угрожают приложению, поэтому необходимо знать самые распространенные риски.
- Скрипт Cross-Site – один из самых распространенных вредоносных уязвимостей, генератор активации WEB-страниц, целью которых является атака пользователя или захват его конфиденциальных данных.
- Request Forgery – это многоэтапный тип уязвимости, состоящий из ссылки на рейтинговом сайте и вредоносного кода, захватывающего пароли и данные из платежных систем. Эта уязвимость широко применяется для взлома приложений в социальных сетях (рассылка спама от лица пользователя, массовые приглашения в группы).
- Code injections – это сильная уязвимость, на поиски которой направлено тестирование веб приложений. Она способна вывести приложение из строя, так как имеет доступ не только к персональным, но и системным данным.
- Серверная команда Server-Side Includes (SSI) Injection осуществляет запуск вредоносного кода.
- Захват идентификационных данных Authorization Bypass позволяет получить доступ к имени и паролю пользователя, а также всем его документам.