Kaj je varnostno preskušanje? Vrste s primerom

Kaj je varnostno preskušanje?

PRESKUŠANJE VARNOSTI je vrsta preizkušanja programske opreme, ki odkriva ranljivosti, grožnje, tveganja v programski aplikaciji in preprečuje zlonamerne napade vsiljivcev. Namen varnostnih preizkusov je ugotoviti vse možne vrzeli in slabosti programskega sistema, ki bi lahko povzročile izgubo informacij, prihodkov, ugleda pri zaposlenih ali tujcih organizacije.

Zakaj je preskušanje varnosti pomembno?

Glavni cilj varnostnega preizkušanja je prepoznati grožnje v sistemu in izmeriti njegove morebitne ranljivosti, tako da je nevarnosti mogoče srečati in sistem ne preneha delovati ali ga ni mogoče izkoristiti. Pomaga tudi pri odkrivanju vseh možnih varnostnih tveganj v sistemu in razvijalcem pomaga odpraviti težave s kodiranjem.

V tej vadnici boste izvedeli-

Kaj je varnostno preskušanje?
Vrste preskušanja varnosti
Kako narediti varnostno preskušanje
Primeri testnih scenarijev za varnostno preskušanje
Metodologije / pristop / tehnike preizkušanja varnosti
Vloge za preskušanje varnosti
Orodje za preskušanje varnosti
Miti in dejstva varnostnega preizkušanja

Vrste varnostnih preizkusov:

V skladu z metodološkim priročnikom za odprtokodno preskušanje varnosti obstaja sedem glavnih vrst varnostnih preskusov. Razloženi so na naslednji način:

Skeniranje ranljivosti : To se naredi z avtomatizirano programsko opremo za skeniranje sistema proti znanim podpisom ranljivosti.
Varnostno skeniranje: Vključuje prepoznavanje omrežnih in sistemskih slabosti, kasneje pa ponuja rešitve za zmanjšanje teh tveganj. To skeniranje lahko izvedete tako za ročno kot za samodejno skeniranje.
Testiranje penetracije : tovrstno testiranje simulira napad zlonamernega hekerja. To testiranje vključuje analizo določenega sistema za preverjanje morebitnih ranljivosti na zunanji poskus vdora.
Ocena tveganja: To testiranje vključuje analizo varnostnih tveganj, opaženih v organizaciji. Tveganja so razvrščena kot nizka, srednja in visoka. To testiranje priporoča nadzor in ukrepe za zmanjšanje tveganja.
Revizija varnosti: Gre za notranji pregled aplikacij in operacijskih sistemov zaradi varnostnih napak. Revizija se lahko opravi tudi po vrstnem pregledu kode
Etično vdiranje: Vdira v programsko opremo organizacije. Za razliko od zlonamernih hekerjev, ki kradejo zaradi lastnih koristi, je namen razkriti varnostne pomanjkljivosti v sistemu.
Ocena drže: ta kombinacija varnostnega pregleda, etičnega vdora in ocene tveganja prikazuje splošno varnostno držo organizacije.

Kako narediti varnostno preskušanje

Vedno se strinjamo, da bodo stroški višji, če prestavimo varnostno preskušanje po fazi implementacije programske opreme ali po uvedbi. Torej je treba v prejšnjih fazah vključiti preskušanje varnosti v življenjski cikel SDLC.

Oglejmo si ustrezne varnostne procese, ki jih bomo sprejeli za vsako fazo v SDLC

Faze SDLC	Varnostni procesi
Zahteve	Varnostna analiza zahtev in preverjanje primerov zlorabe / zlorabe
Oblikovanje	Analiza varnostnih tveganj za načrtovanje. Razvoj preskusnega načrta, vključno z varnostnimi testi
Kodiranje in enotno testiranje	Statično in dinamično preskušanje ter testiranje varnostne škatle
Integracijsko preskušanje	Testiranje črne škatle
Testiranje sistema	Testiranje črne skrinjice in pregled ranljivosti
Izvajanje	Testiranje penetracije, skeniranje ranljivosti
Podpora	Analiza vpliva obližev

Načrt testiranja mora vključevati

Varnostni primeri ali scenariji
Podatki o preizkusu, povezani s preskušanjem varnosti
Testna orodja, potrebna za preskušanje varnosti
Analiza različnih rezultatov testov iz različnih varnostnih orodij

Primeri testnih scenarijev za varnostno preskušanje:

Vzorčni preizkusni scenariji, ki vam omogočajo vpogled v varnostne testne primere -

Geslo mora biti v šifrirani obliki
Aplikacija ali sistem ne smeta dovoliti neveljavnih uporabnikov
Preverite piškotke in čas seje za aplikacijo
Za finančna spletna mesta gumb za vrnitev brskalnika ne bi smel delovati.

Metodologije / pristop / tehnike preizkušanja varnosti

Pri preskušanju varnosti se upoštevajo različne metodologije, in sicer:

Tiger Box : To vdiranje se običajno opravi na prenosnem računalniku, ki ima zbirko operacijskih sistemov in orodij za vdiranje. To testiranje pomaga preizkuševalcem penetracije in preizkuševalcem varnosti pri izvajanju ocene ranljivosti in napadov.
Black Box : Tester je pooblaščen za testiranje vsega o topologiji omrežja in tehnologiji.
Siva škatla : preizkuševalcu se dajo delne informacije o sistemu in je hibrid belih in črnih modelov škatle.

Vloge za preskušanje varnosti

Hekerji - Dostop do računalniškega sistema ali omrežja brez dovoljenja
Krekerji - vdrite v sisteme za krajo ali uničenje podatkov
Etični heker - izvaja večino lomljivih dejavnosti, vendar z dovoljenjem lastnika
Otroški skripti ali paketi opice - neizkušeni hekerji s spretnostmi programskega jezika

Orodje za preskušanje varnosti

1) vsiljivec

Intruder je pregledovalnik ranljivosti podjetja, ki je enostaven za uporabo. V vaši IT infrastrukturi izvaja več kot 10.000 visokokakovostnih varnostnih pregledov, ki med drugim vključujejo: konfiguracijske slabosti, slabosti aplikacij (kot so vbrizgavanje SQL in skript na več mestih) in manjkajoče popravke. Intruder zagotavlja inteligentno prednostne rezultate in proaktivno iskanje najnovejših groženj ter tako prihrani čas in ščiti podjetja vseh velikosti pred hekerji.

Lastnosti:

Priključki AWS, Azure in Google Cloud
Rezultati, značilni za obod, za zmanjšanje zunanje površine napada
Kakovostno poročanje
Slack, integracije Microsoft Teams, Jira, Zapier
Integracija API-ja z vašim CI / CD cevovodom

2) Owasp

Projekt za zaščito odprtih spletnih aplikacij (OWASP) je svetovna neprofitna organizacija, ki se osredotoča na izboljšanje varnosti programske opreme. Projekt ima več orodij za preizkušanje različnih programskih okolij in protokolov. Vodilna orodja projekta vključujejo

Zed Attack Proxy (ZAP - integrirano orodje za testiranje penetracije)
Preverjanje odvisnosti OWASP (pregleda odvisnosti od projekta in preveri ranljivosti, ki jih poznate)
Projekt okolja spletnega testiranja OWASP (zbirka varnostnih orodij in dokumentacije)

3) WireShark

Wireshark je orodje za analizo omrežja, ki je bilo prej znano kot Ethereal. Pakete zajema v realnem času in jih prikaže v berljivi obliki. V bistvu gre za analizator omrežnih paketov, ki vsebuje podrobne podrobnosti o vaših omrežnih protokolih, dešifriranju, informacijah o paketih itd. Je odprtokoden in se lahko uporablja v Linuxu, Windows, OS X, Solarisu, NetBSD, FreeBSD in mnogih drugih. drugi sistemi. Informacije, ki jih dobite s tem orodjem, si lahko ogledate prek grafičnega uporabniškega vmesnika ali pripomočka TShark v načinu TTY.

4) W3af

w3af je ogrodje za napade in revizije spletnih aplikacij. Ima tri vrste vtičnikov; odkrivanje, revizija in napad, ki med seboj komunicirajo glede morebitnih ranljivosti na spletnem mestu, na primer vtičnik za odkrivanje v w3af išče različne URL-je za preizkus ranljivosti in jih posreduje vtičniku za revizijo, ki nato te URL-je uporablja za iskanje ranljivosti.

Miti in dejstva varnostnega testiranja:

Pogovorimo se o zanimivi temi o mitih in dejstvih varnostnih preizkusov:

Mit # 1 Ne potrebujemo varnostne politike, saj imamo majhno podjetje

Dejstvo: Vsako podjetje potrebuje varnostno politiko

Mit # 2 Naložbe v varnostna testiranja niso donosne

Dejstvo: Varnostno preskušanje lahko opozori na področja za izboljšave, ki lahko izboljšajo učinkovitost in zmanjšajo čas izpadov ter omogočijo največjo pretočnost.

Mit # 3 : Edini način, da ga zaščitite, je, da ga odklopite.

Dejstvo: Edini in najboljši način za zaščito organizacije je iskanje "Popolne varnosti". Popolno varnost je mogoče doseči z oceno drže telesa in primerjavo s poslovnimi, pravnimi in industrijskimi utemeljitvami.

Mit # 4 : Internet ni varen. Kupil bom programsko ali strojno opremo za zaščito sistema in reševanje podjetja.

Dejstvo: Ena največjih težav je nakup programske in strojne opreme zaradi varnosti. Namesto tega bi morala organizacija najprej razumeti varnost in jo nato uporabiti.

Zaključek:

Varnostno preskušanje je najpomembnejše testiranje aplikacije in preverja, ali zaupni podatki ostanejo zaupni. Pri tej vrsti preskušanja tester igra vlogo napadalca in se poigrava po sistemu, da bi našel napake, povezane z varnostjo. Varnostno preskušanje je pri programskem inženirstvu zelo pomembno za zaščito podatkov na vse načine.

Kaj je varnostno preskušanje? Vrste s primerom

Kazalo:

Kaj je varnostno preskušanje?

Zakaj je preskušanje varnosti pomembno?

Vrste varnostnih preizkusov:

Kako narediti varnostno preskušanje

Primeri testnih scenarijev za varnostno preskušanje:

Metodologije / pristop / tehnike preizkušanja varnosti

Vloge za preskušanje varnosti

Orodje za preskušanje varnosti

1) vsiljivec

2) Owasp

3) WireShark

4) W3af

Miti in dejstva varnostnega testiranja:

Prehod skozi seznam - CSS-triki

Odkrivanje prvega vidnega elementa določenega razreda - CSS-triki

Onemogoči starševske povezave v navigiranem gnezdu po seznamih CSS-triki

Onemogoči / znova omogoči vhode - CSS-triki

Prikaži brskalnik in različico - CSS-triki

15+ NAJBOLJŠIH (BREZPLAČNIH in plačljivih) SFTP strežnikov za Windows / Linux

Top 50 vprašanj o intervjujih za skripte za školjke & Odgovori

Top 60 vprašanj in odgovorov za intervju z Linuxom (Prenesite PDF)

Oracle PL / SQL BULK COLLECT: PREDNJI primer

MySQL UNION - Popolna vadnica

Kako uvoziti podatke XML v Excel (primer)

Kako uvoziti podatke CSV (besedilo) v Excel (primer)

16 NAJBOLJŠIH etičnih knjig o vdiranju (posodobitev 2021)

Kako uvoziti podatke MS Access v Excel (primer)

Kako ustvariti vrtilno tabelo v Excelu: Vadnica za začetnike