Čo je to Testovanie bezpečnosti? Typy s príkladom

Čo je to Testovanie bezpečnosti?

BEZPEČNOSTNÉ TESTOVANIE je typ softvérového testovania, ktoré odhaľuje zraniteľné miesta, hrozby, riziká v softvérovej aplikácii a zabraňuje škodlivým útokom votrelcov. Účelom bezpečnostných testov je identifikovať všetky možné medzery a slabosti softvérového systému, ktoré by mohli viesť k strate informácií, výnosov, dobrej povesti z rúk zamestnancov alebo outsiderov organizácie.

Prečo je testovanie bezpečnosti dôležité?

Hlavným cieľom bezpečnostného testovania je identifikovať hrozby v systéme a zmerať jeho potenciálne zraniteľnosti, aby na ne bolo možné naraziť a aby systém neprestal fungovať alebo aby nebol zneužiteľný. Pomáha tiež pri zisťovaní všetkých možných bezpečnostných rizík v systéme a pomáha vývojárom pri riešení problémov pomocou kódovania.

V tomto návode sa naučíte

Čo je to Testovanie bezpečnosti?
Druhy testovania bezpečnosti
Ako urobiť Testovanie bezpečnosti
Príklady testovacích scenárov pre testovanie bezpečnosti
Metodiky / prístup / techniky testovania bezpečnosti
Úlohy na testovanie bezpečnosti
Nástroj na testovanie bezpečnosti
Mýty a fakty o testovaní bezpečnosti

Druhy testovania bezpečnosti:

Existuje sedem hlavných typov testovania zabezpečenia podľa metodickej príručky Open Source Security Testing. Vysvetľujú sa takto:

Kontrola zraniteľnosti : Toto sa deje pomocou automatizovaného softvéru na skenovanie systému proti známym podpisom zraniteľnosti.
Skenovanie zabezpečenia: Zahŕňa identifikáciu slabín siete a systému a neskôr poskytuje riešenia na zníženie týchto rizík. Toto skenovanie je možné vykonať pre ručné aj automatické skenovanie.
Penetračné testovanie : Tento druh testovania simuluje útok škodlivého hackera. Toto testovanie zahŕňa analýzu konkrétneho systému s cieľom skontrolovať potenciálne chyby zabezpečenia pri pokuse o externé hackerstvo.
Hodnotenie rizika: Toto testovanie zahŕňa analýzu bezpečnostných rizík pozorovaných v organizácii. Riziká sú klasifikované ako nízke, stredné a vysoké. Toto testovanie odporúča kontroly a opatrenia na zníženie rizika.
Audit bezpečnosti: Ide o internú kontrolu bezpečnostných chýb aplikácií a operačných systémov. Audit je možné vykonať aj kontrolou kódu po riadku
Etické hackerstvo: Ide o hacking systémov organizácie Software. Na rozdiel od škodlivých hackerov, ktorí kradnú pre svoje vlastné zisky, zámerom je odhaliť bezpečnostné chyby v systéme.
Hodnotenie držania tela : Toto kombinuje bezpečnostné skenovanie, etické hackerstvo a hodnotenie rizika, aby sa ukázal celkový bezpečnostný postoj organizácie.

Ako urobiť Testovanie bezpečnosti

Vždy sa dohodne, že náklady budú vyššie, ak odložíme testovanie bezpečnosti po fáze implementácie softvéru alebo po nasadení. Je preto potrebné zahrnúť testovanie bezpečnosti do životného cyklu SDLC v skorších fázach.

Pozrime sa na príslušné bezpečnostné procesy, ktoré sa majú prijať pre každú fázu v SDLC

SDLC fázy	Bezpečnostné procesy
Požiadavky	Bezpečnostná analýza požiadaviek a kontrola prípadov zneužitia / zneužitia
Dizajn	Analýza bezpečnostných rizík pre projektovanie. Vypracovanie plánu testov vrátane bezpečnostných testov
Kódovanie a testovanie jednotiek	Statické a dynamické testovanie a testovanie bezpečnostnej bielej skrinky
Testovanie integrácie	Testovanie čiernej skrinky
Testovanie systému	Testovanie čiernej skrinky a skenovanie zraniteľnosti
Implementácia	Testovanie prieniku, skenovanie zraniteľnosti
podpora	Dopadová analýza opráv

Plán skúšok by mal obsahovať

Testovacie prípady alebo scenáre týkajúce sa bezpečnosti
Testovacie údaje týkajúce sa testovania bezpečnosti
Na testovanie bezpečnosti sú potrebné testovacie nástroje
Analýza rôznych výstupov testov z rôznych bezpečnostných nástrojov

Príklady testovacích scenárov pre testovanie bezpečnosti:

Príklady testovacích scenárov, ktoré vám umožnia nahliadnuť do testovacích prípadov zabezpečenia -

Heslo by malo byť v šifrovanom formáte
Aplikácia alebo systém by nemali umožňovať neplatným používateľom
Skontrolujte použitie súborov cookie a čas relácie
U finančných stránok by tlačidlo Späť v prehliadači nemalo fungovať.

Metodiky / prístup / techniky testovania bezpečnosti

Pri testovaní bezpečnosti sa postupuje podľa rôznych metodík:

Tiger Box : Toto hackerstvo sa zvyčajne vykonáva na notebooku, ktorý má zbierku OS a hackerských nástrojov. Toto testovanie pomáha testerom penetrácie a testerom bezpečnosti vykonávať hodnotenie zraniteľností a útoky.
Black Box : Tester je oprávnený testovať všetko, čo sa týka topológie siete a technológie.
Šedá skrinka : Tester poskytuje čiastočne informácie o systéme a jedná sa o hybrid modelov bielej a čiernej skrinky.

Úlohy na testovanie bezpečnosti

Hackeri - Prístup k počítačovému systému alebo sieti bez autorizácie
Crackery - preniknite do systémov a ukradnite alebo zničte údaje
Ethical Hacker - Vykonáva väčšinu zlomových činností, ale so súhlasom vlastníka
Script Kiddies alebo paketové opice - Neskúsení hackeri so znalosťou programovacieho jazyka

Nástroj na testovanie bezpečnosti

1) Votrelec

Intruder je podnikový skener zraniteľností, ktorý sa ľahko používa. Vykonáva viac ako 10 000 vysoko kvalitných bezpečnostných kontrol naprieč vašou IT infraštruktúrou, ktoré okrem iného zahŕňajú: slabé miesta v konfigurácii, slabé miesta v aplikáciách (napríklad SQL injection a skriptovanie medzi lokalitami) a chýbajúce opravy. Intruder poskytuje inteligentne uprednostňované výsledky a proaktívne kontroly na najnovšie hrozby. Pomáha tak šetriť čas a chráni podniky všetkých veľkostí pred hackermi.

Vlastnosti:

Konektory AWS, Azure a Google Cloud
Výsledky špecifické pre daný obvod, ktoré znižujú váš externý útočný povrch
Kvalitný reporting
Integrácie Slack, Microsoft Teams, Jira, Zapier
Integrácia API s vašim potrubím CI / CD

2) Owasp

Open Web Application Security Project (OWASP) je celosvetová nezisková organizácia zameraná na zlepšovanie bezpečnosti softvéru. Projekt má niekoľko nástrojov na testovanie rôznych softvérových prostredí a protokolov perom. Medzi hlavné nástroje projektu patria

Zed Attack Proxy (ZAP - integrovaný nástroj na testovanie penetrácie)
Kontrola závislostí OWASP (vyhľadáva závislosti projektu a kontroluje známe chyby zabezpečenia)
Projekt webového testovacieho prostredia OWASP (zbierka bezpečnostných nástrojov a dokumentácie)

3) WireShark

Wireshark je nástroj na sieťovú analýzu, predtým známy ako Ethereal. Zachytáva pakety v reálnom čase a zobrazuje ich v čitateľnom formáte. V zásade ide o analyzátor sieťových paketov, ktorý poskytuje podrobné informácie o sieťových protokoloch, dešifrovaní, informáciách o paketoch atď. Je to otvorený zdroj a môže byť použitý v systémoch Linux, Windows, OS X, Solaris, NetBSD, FreeBSD a mnohých ďalších. iné systémy. Informácie, ktoré sa načítajú pomocou tohto nástroja, je možné zobraziť prostredníctvom grafického používateľského rozhrania alebo nástroja TShark v režime TTY.

4) W3af

w3af je rámec pre útoky a audit webových aplikácií. Má tri typy doplnkov; objavovanie, auditovanie a útoky, ktoré medzi sebou komunikujú o prípadných zraniteľnostiach na webe, napríklad vyhľadávací doplnok vo w3af hľadá rôzne adresy URL na testovanie zraniteľností a preposiela ich do auditovacieho doplnku, ktorý potom pomocou týchto adries URL vyhľadáva zraniteľné miesta.

Mýty a fakty o testovaní bezpečnosti:

Poďme si povedať zaujímavú tému Mýty a fakty o testovaní bezpečnosti:

Mýtus č. 1 Nepotrebujeme bezpečnostnú politiku, pretože máme malú firmu

Fakt: Každý a každá spoločnosť potrebuje bezpečnostnú politiku

Mýtus č. 2 Investície do testovania bezpečnosti sa nevracajú

Fakt: Testovanie zabezpečenia môže poukázať na oblasti na zlepšenie, ktoré môžu zvýšiť efektivitu a znížiť prestoje a umožniť maximálnu priepustnosť.

Mýtus č. 3 : Jediným spôsobom, ako zabezpečiť, je odpojiť ho.

Fakt: Jediným a najlepším spôsobom zabezpečenia organizácie je vyhľadanie položky „Perfect Security“. Dokonalé zabezpečenie je možné dosiahnuť vykonaním posúdenia polohy a porovnaním s obchodnými, právnymi a priemyselnými odôvodneniami.

Mýtus č. 4 : Internet nie je bezpečný. Zakúpim softvér alebo hardvér na ochranu systému a záchranu firmy.

Fakt: Jedným z najväčších problémov je nákup softvéru a hardvéru kvôli bezpečnosti. Namiesto toho by organizácia mala najskôr porozumieť bezpečnosti a potom ju uplatniť.

Záver:

Testovanie zabezpečenia je najdôležitejším testovaním aplikácie a kontroluje, či dôverné údaje zostávajú dôverné. Pri tomto type testovania hrá tester úlohu útočníka a hrá sa v systéme s cieľom nájsť chyby súvisiace so zabezpečením. Testovanie bezpečnosti je v softvérovom inžinierstve veľmi dôležité na ochranu údajov všetkými prostriedkami.

Čo je to Testovanie bezpečnosti? Typy s príkladom

Obsah:

Čo je to Testovanie bezpečnosti?

Prečo je testovanie bezpečnosti dôležité?

Druhy testovania bezpečnosti:

Ako urobiť Testovanie bezpečnosti

Príklady testovacích scenárov pre testovanie bezpečnosti:

Metodiky / prístup / techniky testovania bezpečnosti

Úlohy na testovanie bezpečnosti

Nástroj na testovanie bezpečnosti

1) Votrelec

2) Owasp

3) WireShark

4) W3af

Mýty a fakty o testovaní bezpečnosti:

Zabezpečte, aby prvky HTML5 fungovali v starom IE Triky CSS

Viacriadkové reťazcové premenné v JavaScripte Triky CSS

Presuňte kurzor na koniec vstupu - Triky CSS

Zosvetliť / stmaviť farbu - Triky CSS

Moderné riešenie udalostí Triky CSS

Všetko o procese konsignácie v SAP SD

Stanovenie kategórie položiek SAP: VOV7, VOV4

Určte cenu podľa kategórie položiek v systéme SAP: OVKO

Definovať & Priradenie dôvodu blokovania v systéme SAP (OVV4, S_ALR_87007670)

Ako vytvoriť účtovný kľúč v SAP: OV34

Čo je SDET? Plná forma, význam, rola a zodpovednosť

Musia testeri napísať kód?

Testovací prípad vs Testovací scenár: Aký je rozdiel?

Výukový program pre testovanie API: Čo je to API Test Automation? Ako testovať

Čo je testovanie BLACK Boxu? Techniky, príklad a Typy