Особенности проведения тестирования безопасности

Тестирование безопасности является одной из разновидностей тестирования, направленной на минимизацию рисков, связанных с целостностью защиты системы. При тестировании безопасности обязательно проверяется сопротивляемость приложения атакам вирусов или хакеров.

При этом создаются условия, имитирующие взлом системы или несанкционированный доступ к данным конфиденциального характера.

Принципы безопасности WEB-приложения

Любое тестирование безопасности ставит перед собой цель найти и обезвредить все имеющиеся риски, представляющие явную угрозу для приложения, и предотвратить потерю данных. При этом тестирование веб приложений основывается на следующих принципах:

• анализ защиты конфиденциальности данных, возможность ограничения доступа определенных категорий пользователей к отдельной информации;
• проверка целостности информации, включающая возможность приложения самостоятельно восстанавливаться при повреждении отдельных сегментов или внесении изменений;
• доступность и степень защиты информации зависят от вида тестируемого приложения. В случае если оно относится к критичным программам, уровень доступности должен быть довольно высоким.

Разновидности опасностей для WEB-приложений

Тестирование безопасности призвано обезвредить ошибки, которые угрожают приложению, поэтому необходимо знать самые распространенные риски.

• Скрипт Cross-Site – один из самых распространенных вредоносных уязвимостей, генератор активации WEB-страниц, целью которых является атака пользователя или захват его конфиденциальных данных.
• Request Forgery – это многоэтапный тип уязвимости, состоящий из ссылки на рейтинговом сайте и вредоносного кода, захватывающего пароли и данные из платежных систем. Эта уязвимость широко применяется для взлома приложений в социальных сетях (рассылка спама от лица пользователя, массовые приглашения в группы).
• Code injections – это сильная уязвимость, на поиски которой направлено тестирование веб приложений. Она способна вывести приложение из строя, так как имеет доступ не только к персональным, но и системным данным.
• Серверная команда Server-Side Includes (SSI) Injection осуществляет запуск вредоносного кода.
• Захват идентификационных данных Authorization Bypass позволяет получить доступ к имени и паролю пользователя, а также всем его документам.