Тестування безпеки є однією з різновидів тестування, спрямованої на мінімізацію ризиків, пов'язаних з цілісністю захисту системи. При тестуванні безпеки обов'язково перевіряється опірність додатки атакам вірусів або хакерів. При цьому створюються умови, що імітують злом системи або несанкціонований доступ до даних конфіденційного характеру.
Принципи безпеки WEB-додатки
Будь-яке тестування безпеки ставить перед собою мету знайти і знешкодити всі наявні ризики, що представляють явну загрозу для додатки , І запобігти втраті даних. При цьому тестування веб додатків грунтується на наступних принципах:
- аналіз захисту конфіденційності даних, можливість обмеження доступу певних категорій користувачів до окремої інформації;
- перевірка цілісності інформації, що включає можливість застосування самостійно відновлюватися при пошкодженні окремих сегментів або внесення змін;
- доступність і ступінь захисту інформації залежать від виду досліджуваного додатки. У разі якщо воно відноситься до критичних програмами, рівень доступності повинен бути досить високим.
Різновиди небезпек для WEB-додатків
тестування безпеки покликане знешкодити помилки, які загрожують додатком, тому необхідно знати найпоширеніші ризики.
- Скрипт Cross-Site - один з найпоширеніших шкідливих вразливостей, генератор активації WEB-сторінок, метою яких є атака користувача або захоплення його конфіденційних даних.
- Request Forgery - це багатоетапний тип вразливості, що складається із заслання на рейтинговому сайті і шкідливого коду, захоплюючого паролі і дані з платіжних систем. Ця вразливість широко застосовується для злому додатків в соціальних мережах (розсилка спаму від імені користувача, масові запрошення в групи).
- Code injections - це сильна вразливість, на пошуки якої направлено тестування веб додатків. Вона здатна вивести додаток з ладу, так як має доступ не тільки до персональних, але і системним даними.
- Серверна команда Server-Side Includes (SSI) Injection здійснює запуск шкідливого коду.
- Захоплення ідентифікаційних даних Authorization Bypass дозволяє отримати доступ до імені та паролю користувача, а також всім його документами.
Оцініть статтю: Поділіться з друзями!