Принципы тестирования безопасности

Тестирование безопасности – это специальная методика проверки, которая показывает, насколько эффективно информационная система защищает данные, поддерживает ли требуемый функционал. Проведение тестирования не дает гарантию полной безопасности системы, но относится к обязательным подготовительным мероприятиям. Общая стратегия действий должна быть нацелена на доступность, целостность, конфиденциальность.

Конфиденциальность предполагает сокрытие информации или ресурсов, ограничение доступа для ряда пользователей. Если мы говорим про тестирование безопасности https://xn—-8sbahcldvavgxnb6cdn5byc.xn--p1ai/security-testing/ и целостность, то имеем в виду принципы доверия, изменения только заданной группой лиц, своевременного восстановления данных в случае необходимости. Доступность предполагает наличие доступа к ресурсам у авторизованных пользователей, внутренних объектов либо устройств. Чем критичнее ресурс, тем выше должна быть доступность.

Когда следует делать тестирование

Основные рекомендации:

• Если приложения уже используются, тестирование нужно делать периодически с заданными интервалами, а также после внесения очередных изменений в функционал.
• Всегда – до запуска нового ПО.
• Обязательно в случае добавления надстроек к активно используемым приложениям.
• Если были инциденты, связанные с применением ПО, при подозрениях на некорректную работу программы с точки зрения безопасности.

Какие уязвимости ПО существуют

К основным типам уязвимости ПО относят:

• XSS. На странице, сгенерированной сервером, выполняются скрипты вредоносного характера, чтобы атаковать клиента.
• XSRF или CSRF. Категория уязвимости, позволяющая задействовать недостатки протоколов HTTP. Злоумышленники действуют по следующей схеме – устанавливают вредоносную ссылку на странице, которой пользователь доверяет и с большой вероятностью перейдет на другой сайт. После выполняется скрипт, записывающий личные сведения пользователя либо отправляющий сообщения спамного характера от лица пользователя. В ряде случаев возможно изменение первоначальных учетных данных для установления контроля над профилем.
• Группа Code injections. Тип уязвимости, открывающий возможности для запуска исполняемых кодов для получения доступа к ресурсам системы, осуществления несанкционированного доступа.
• SSI. Вставка в код HTML серверных команд.
• Authorization Bypass. Злоумышленники получают несанкционированный доступ к документам пользователей или их учетным записям.

При тестировании должны учитываться все перечисленные виды опасностей. Исключение основных рисков позволяет создавать условия для безопасной работы ПО. Проверка отдельных опасностей противоречит принципам комплексного подхода и просто не дает требуемые результаты.

Чек-лист проверки безопасности

Убедиться, что все работает корректно, можно выполнив ряд этапов. Так профессиональное функциональное тестирование начинается с контроля доступа. Это позволяет определить проблемы, связанные с несанкционированным доступом пользователей к информации и функциям с учетом предоставленных ролей. Обязательно нужно проверить конфигурации ролевой модели.

Следующий этап – аутентификация. Он покажет отсутствие возможности обхода авторизации, регистрации. Также проверка аутентификации покажет корректность управления личными данными пользователей, исключит вероятность получения данных о зарегистрированных пользователях, их учетной информации.

После нужно будет выполнить валидацию входных значений. Процедура проводится в рамках проверки алгоритмов по обработке данных. Отдельное внимание следует уделить некорректным значениям – на них приложение ссылаться не должно. Связанные с шифрованием и дешифрованием данных проблем покажет криптография. Также она анализирует порядок постановки подписей, верификации подлинности, анализа сетевых протоколов.

Обязательно тестируются механизмы по обработке ошибок для анализа системных сбоев. Оценка конфигураций сервера нужна для поиска ошибок в многопоточных процессах, которые связаны с доступностью значений переменных для совместного применения другими запросами и приложениями.

Устойчивость к Dos/DDos атакам покажет способность ПО выполнять обработку незапланированно высоких нагрузок, прорабатывать значительные объемы данных. Нормальная интеграция со сторонними сервисами поможет убедиться, что манипуляция данными, которые передаются между сторонними компонентами и приложениями, невозможна.