Тестване на уеб приложения

  • Начало
  • Тестване на уеб приложения

Уеб приложенията сa едно от най-разпространените средства за събиране, съхранение, управление и преразпределение на данни.  Oт съществено значение e една от основните му цели да бъде сигурността на приложението.

В много случаи уязвимостите, които водят до успешно компрометиране на системата, са напълно игнорирани от конвенционалните и автоматизирани методи за тестване.

Услугата съчетава както автоматизирано, така и ръчно тестване на уеб приложението. Ръчното тестване е необходимо заради нуждата от верифициране на резултатите и възможноста за пропуск от автоматизираните скенери.  За да се идентифицира потенциалната атакувана цел, се извършва разузнаване. Този етап е част от методологията за тестване за проникване, която включва следните етапи:

РАЗУЗНАВАНЕ

етап 1

СКАНИРАНЕ

етап 2

ПОЛУЧАВАНЕ НА ДОСТЪП

етап 3

ЕСКАЛАЦИЯ НА ПРИВИЛЕГИИТЕ

етап 4

Заедно с етапите, специалистите са задължени предварително да са запознати и с метода за достъп съгласно договора с клиента, като те се разделят на три основни вида:

b_box.png

BLACK BOX ТЕСТ

Zero Knowledge

В задание за тестване от този тип, специалистите са поставени в ролята на “хакери”, без вътрешни познания за целевата система. специалистите не са снабдени с никакви архитектурни диаграми или изходен код, които не са публично достъпни. Тест за сигурност от тип „черна кутия“ определя уязвимостите в системата, които могат да се използват извън мрежата и са достъпни до всички.

g_box.png

GRAY BOX ТЕСТ

Some Knowledge

Тестването от тип “Grey Box” е техника за тестване, изпълнена с ограничена информация за вътрешната функционалност на системата. Тестовете на “Gray Box” имат достъп до документите за проектиране на системата, заедно с информация за изискванията. Те обаче нямат достъп до изходния код на приложението. Този тип тест осигурява комбинирани предимства както на тестовете с “White Box”, така и на “Black Box”

w_box.png

WHITE BOX ТЕСТ

Full Knowledge

Метода за тестване от тип „White box“ анализира вътрешните структури, използвани използваните структури от данни, вътрешния дизайн, структурата на кода и работата на софтуера, а не само функционалността, както при тестване от тип “Black Box”. Този тест е подходящ за приложения които още не са пуснати в експлоатация и се желае да се установи тяхната сигурност.

В края на теста се издава доклад, за да се осигури лесно разбираемо описание на констатираните проблеми, както и препоръки за намаляване на уязвимостите.

Като допълнение на контролите за сигурност се вземат предвид и следните категории:

  • неприкосновеност спрямо други приложения;
  • наличие на лоши практики в общата сигурност на приложенията;
  • изтичане на информация от изходния код на приложението.