Što je sigurnosno testiranje? Vrste s primjerom

Što je sigurnosno testiranje?

TESTIRANJE SIGURNOSTI vrsta je softverskog testiranja koja otkriva ranjivosti, prijetnje, rizike u softverskoj aplikaciji i sprječava zlonamjerne napade uljeza. Svrha sigurnosnih testova je identificirati sve moguće rupe i slabosti softverskog sustava koje bi mogle rezultirati gubitkom informacija, prihoda, ugleda od strane zaposlenika ili stranaca Organizacije.

Zašto je ispitivanje sigurnosti važno?

Glavni cilj sigurnosnog testiranja je identificirati prijetnje u sustavu i izmjeriti njegove potencijalne ranjivosti, tako da se prijetnje mogu susresti i sustav ne prestaje funkcionirati ili se ne može iskoristiti. Također pomaže u otkrivanju svih mogućih sigurnosnih rizika u sustavu i pomaže programerima da probleme riješe kodiranjem.

U ovom vodiču naučit ćete-

Što je sigurnosno testiranje?
Vrste sigurnosnih ispitivanja
Kako napraviti sigurnosno testiranje
Primjeri testnih scenarija za sigurnosno ispitivanje
Metodologije / pristup / tehnike za ispitivanje sigurnosti
Uloge ispitivanja sigurnosti
Alat za ispitivanje sigurnosti
Mitovi i činjenice sigurnosnog ispitivanja

Vrste sigurnosnih ispitivanja:

Prema priručniku o metodologiji za sigurnosno testiranje otvorenog koda postoji sedam glavnih vrsta sigurnosnih ispitivanja. Objašnjeni su na sljedeći način:

Skeniranje ranjivosti : To se radi putem automatiziranog softvera za skeniranje sustava protiv poznatih potpisa ranjivosti.
Sigurnosno skeniranje: Uključuje identificiranje mrežnih i sistemskih slabosti, a kasnije nudi rješenja za smanjenje tih rizika. Ovo se skeniranje može izvesti i za ručno i za automatsko skeniranje.
Testiranje penetracije : Ova vrsta testiranja simulira napad zlonamjernog hakera. Ovo testiranje uključuje analizu određenog sustava radi provjere potencijalnih ranjivosti na vanjski pokušaj hakiranja.
Procjena rizika: Ovo testiranje uključuje analizu sigurnosnih rizika uočenih u organizaciji. Rizici su klasificirani kao niski, srednji i visoki. Ovo ispitivanje preporučuje kontrole i mjere za smanjenje rizika.
Revizija sigurnosti: Ovo je interna inspekcija aplikacija i operativnih sustava radi sigurnosnih nedostataka. Revizija se može obaviti i linijskim pregledom koda
Etičko hakiranje: Hakira organizacijski softverski sustav. Za razliku od zlonamjernih hakera koji kradu radi vlastite dobiti, namjera je razotkriti sigurnosne nedostatke u sustavu.
Procjena držanja tijela: Ovo kombinira sigurnosno skeniranje, etičko hakiranje i procjene rizika kako bi se pokazalo cjelokupno sigurnosno držanje organizacije.

Kako napraviti sigurnosno testiranje

Uvijek se dogovori da će taj trošak biti veći ako odgodimo sigurnosno testiranje nakon faze implementacije softvera ili nakon implementacije. Dakle, potrebno je uključiti sigurnosno testiranje u životni ciklus SDLC-a u ranijim fazama.

Pogledajmo odgovarajuće sigurnosne procese koji će se usvojiti za svaku fazu u SDLC-u

SDLC faze	Sigurnosni procesi
Zahtjevi	Sigurnosna analiza zahtjeva i provjera slučajeva zlouporabe / zlouporabe
Oblikovati	Analiza sigurnosnih rizika za projektiranje. Izrada plana ispitivanja, uključujući sigurnosne testove
Kodiranje i jedinično ispitivanje	Statičko i dinamičko ispitivanje i sigurnosno bijelo ispitivanje
Ispitivanje integracije	Ispitivanje crne kutije
Ispitivanje sustava	Testiranje crne kutije i skeniranje ranjivosti
Provedba	Ispitivanje penetracije, skeniranje ranjivosti
Podrška	Analiza utjecaja zakrpa

Plan ispitivanja trebao bi sadržavati

Ispitni slučajevi ili scenariji povezani sa sigurnošću
Podaci o testiranju koji se odnose na sigurnosno testiranje
Alati za testiranje potrebni za sigurnosno testiranje
Analiza različitih rezultata ispitivanja iz različitih sigurnosnih alata

Primjeri scenarija ispitivanja za sigurnosno testiranje:

Uzorci scenarija testiranja koji će vam dati uvid u sigurnosne slučajeve -

Lozinka treba biti u šifriranom obliku
Aplikacija ili sustav ne smiju dopustiti nevaljane korisnike
Provjerite kolačiće i vrijeme sesije za prijavu
Za financijske web stranice gumb za povratak preglednika ne bi trebao raditi.

Metodologije / pristup / tehnike za ispitivanje sigurnosti

U sigurnosnom testiranju slijede se različite metodologije koje su sljedeće:

Tiger Box : Ovo se hakiranje obično vrši na prijenosnom računalu koje ima zbirku OS-a i alata za hakiranje. Ovo testiranje pomaže ispitivačima penetracije i ispitivačima sigurnosti da izvrše procjenu ranjivosti i napade.
Crna kutija : Tester je ovlašten provesti testiranje svega što se tiče topologije mreže i tehnologije.
Siva kutija : Ispitivaču se daju djelomične informacije o sustavu, a riječ je o hibridnom modelu bijele i crne kutije.

Uloge ispitivanja sigurnosti

Hakeri - Pristupite računalnom sustavu ili mreži bez odobrenja
Krekeri - provalite u sustave kako biste ukrali ili uništili podatke
Etički haker - izvodi većinu lomnih aktivnosti, ali uz dopuštenje vlasnika
Dijete skripte ili majmuni paketi - Neiskusni hakeri s vještinom programskog jezika

Alat za ispitivanje sigurnosti

1) uljez

Intruder je korporativni skener ranjivosti koji je jednostavan za upotrebu. Izvršava preko 10.000 visokokvalitetnih sigurnosnih provjera u vašoj IT infrastrukturi, koje uključuju, ali nisu ograničene na: slabosti konfiguracije, slabosti aplikacija (poput SQL ubrizgavanja i skriptiranje na više lokacija) i nedostajuće zakrpe. Pružajući pametno prioritetne rezultate, kao i proaktivno skeniranje najnovijih prijetnji, Intruder pomaže uštedjeti vrijeme i štiti tvrtke svih veličina od hakera.

Značajke:

AWS, Azure i Google Cloud konektori
Rezultati specifični za opseg kako biste smanjili vanjsku površinu napada
Kvalitetno izvještavanje
Slack, integracija Microsoftovih timova, Jira, Zapier
API integracija s vašim CI / CD cjevovodom

2) Owasp

Projekt sigurnosti otvorenih web aplikacija (OWASP) svjetska je neprofitna organizacija usmjerena na poboljšanje sigurnosti softvera. Projekt ima više alata za testiranje različitih softverskih okruženja i protokola. Vodeći alati projekta uključuju

Zed Attack Proxy (ZAP - integrirani alat za testiranje penetracije)
OWASP provjera ovisnosti (skenira ovisnosti o projektu i provjerava postojeće ranjivosti)
Projekt okruženja za web testiranje OWASP (zbirka sigurnosnih alata i dokumentacije)

3) WireShark

Wireshark je alat za mrežnu analizu koji je prije bio poznat kao Ethereal. Snima pakete u stvarnom vremenu i prikazuje ih u čitljivom formatu. U osnovi, to je analizator mrežnih paketa - koji pruža detaljne detalje o vašim mrežnim protokolima, dešifriranju, podacima o paketima itd. Otvoreni je izvor i može se koristiti na Linuxu, Windowsu, OS X, Solarisu, NetBSD, FreeBSD i mnogim drugim drugi sustavi. Informacije do kojih se dolazi putem ovog alata mogu se pregledati putem GUI-a ili uslužnog programa TShark u načinu TTY.

4) W3af

w3af je okvir za nadzor i reviziju web aplikacija. Ima tri vrste dodataka; otkrivanje, revizija i napad koji međusobno komuniciraju za bilo kakve ranjivosti na web mjestu, na primjer dodatak za otkrivanje u w3af traži različite URL-ove za testiranje ranjivosti i prosljeđuje ih dodatku za reviziju koji zatim koristi ove URL-ove za traženje ranjivosti.

Mitovi i činjenice sigurnosnog testiranja:

Razgovarajmo o zanimljivoj temi o mitovima i činjenicama sigurnosnog testiranja:

Mit 1. Ne trebaju nam sigurnosne politike jer imamo malu tvrtku

Činjenica: Svatko i svaka tvrtka trebaju sigurnosnu politiku

Mit # 2 Nema povrata ulaganja u sigurnosno testiranje

Činjenica: Sigurnosno testiranje može ukazati na područja za poboljšanje koja mogu poboljšati učinkovitost i smanjiti zastoje, omogućujući maksimalnu propusnost.

Mit # 3 : Jedini način da ga osigurate je da ga isključite.

Činjenica: Jedini i najbolji način da se osigura organizacija jest pronaći "Savršenu sigurnost". Savršena sigurnost može se postići provođenjem procjene držanja tijela i usporediti s poslovnim, pravnim i industrijskim opravdanjima.

Mit # 4 : Internet nije siguran. Kupit ću softver ili hardver kako bih zaštitio sustav i spasio posao.

Činjenica: Jedan od najvećih problema je kupnja softvera i hardvera radi sigurnosti. Umjesto toga, organizacija bi prvo trebala razumjeti sigurnost, a zatim je primijeniti.

Zaključak:

Ispitivanje sigurnosti najvažnije je ispitivanje za aplikaciju i provjerava ostaju li povjerljivi podaci povjerljivima. U ovoj vrsti testiranja, tester igra ulogu napadača i igra se oko sustava kako bi pronašao sigurnosne greške. Ispitivanje sigurnosti vrlo je važno u softverskom inženjerstvu da bi se zaštitili podaci na sve načine.

Što je sigurnosno testiranje? Vrste s primjerom

Sadržaj:

Što je sigurnosno testiranje?

Zašto je ispitivanje sigurnosti važno?

Vrste sigurnosnih ispitivanja:

Kako napraviti sigurnosno testiranje

Primjeri scenarija ispitivanja za sigurnosno testiranje:

Metodologije / pristup / tehnike za ispitivanje sigurnosti

Uloge ispitivanja sigurnosti

Alat za ispitivanje sigurnosti

1) uljez

2) Owasp

3) WireShark

4) W3af

Mitovi i činjenice sigurnosnog testiranja:

# 030: Izbacivanje stranica za navigaciju - CSS-trikovi

# 031: Označavanje trenutne navigacije - CSS-trikovi

# 032: Učiniti mrežu odgovornom - CSS-trikovi

# 033: Pretraživanje fotošopinga - CSS-trikovi

# 034: Pretraživanje zgrada, 1. dio - CSS-trikovi

Clip-path - CSS-trikovi

Stupac-pravilo - CSS-trikovi

Omjer slike - CSS-trikovi

Podešavanje boje - CSS-trikovi

Oblik kareta - CSS-trikovi

C ++ Program Hello World s objašnjenjem koda

C ++ nizovi: strcpy (), strcat (), strlen (), strcmp () PRIMJERI

Rukovanje iznimkom C ++: Pokušaj, uhvati, baci Primjer

Izjava slučaja prebacivanja C ++ s PRIMJEROM

C ++ Dinamička alokacija nizova s primjerom