Hvad er sikkerhedstestning? Typer med eksempel

Hvad er sikkerhedstest?

SIKKERHEDSTEST er en type softwaretest, der afdækker sårbarheder, trusler, risici i et softwareprogram og forhindrer ondsindede angreb fra ubudne gæster. Formålet med sikkerhedstest er at identificere alle mulige smuthuller og svagheder ved softwaresystemet, som kan resultere i et tab af information, indtægter, omdømme hos organisationens medarbejdere eller udenforstående.

Hvorfor sikkerhedstestning er vigtig?

Hovedmålet med Security Testing er at identificere truslerne i systemet og måle dets potentielle sårbarheder, så truslerne kan opstå, og systemet stopper ikke med at fungere eller kan ikke udnyttes. Det hjælper også med at opdage alle mulige sikkerhedsrisici i systemet og hjælper udviklere med at løse problemerne ved hjælp af kodning.

I denne vejledning lærer du-

Hvad er sikkerhedstest?
Typer af sikkerhedstest
Sådan udføres sikkerhedstest
Eksempel på testscenarier til sikkerhedstest
Metoder / tilgang / teknikker til sikkerhedstest
Roller til sikkerhedstest
Sikkerhedstestværktøj
Myter og fakta ved sikkerhedstest

Typer af sikkerhedstest:

Der er syv hovedtyper af sikkerhedstest i henhold til Open Source Security Testing Methodology Manual. De forklares som følger:

Sårbarhedsscanning : Dette gøres via automatiseret software til at scanne et system mod kendte sårbarhedsunderskrifter.
Sikkerhedsscanning: Det involverer identifikation af netværks- og systemsvagheder og giver senere løsninger til at reducere disse risici. Denne scanning kan udføres til både manuel og automatisk scanning.
Penetration test : Denne form for test simulerer et angreb fra en ondsindet hacker. Denne test involverer analyse af et bestemt system for at kontrollere potentielle sårbarheder over for et eksternt hackingsforsøg.
Risikovurdering: Denne test involverer analyse af sikkerhedsrisici observeret i organisationen. Risici klassificeres som lave, mellemstore og høje. Denne test anbefaler kontrol og foranstaltninger til at reducere risikoen.
Sikkerhedsrevision: Dette er en intern inspektion af applikationer og operativsystemer for sikkerhedsfejl. En revision kan også udføres via linje for linjeinspektion af kode
Etisk hacking: Det hacker en organisationssoftwaresystemer. I modsætning til ondsindede hackere, der stjæler for deres egen gevinst, er hensigten at afsløre sikkerhedsfejl i systemet.
Posture Assessment: Dette kombinerer sikkerhedsscanning, etisk hacking og risikovurderinger for at vise en generel sikkerhedsstilling af en organisation.

Sådan udføres sikkerhedstest

Det er altid aftalt, at omkostningerne vil være større, hvis vi udsætter sikkerhedstest efter softwareimplementeringsfasen eller efter implementeringen. Så det er nødvendigt at involvere sikkerhedstest i SDLC-livscyklussen i de tidligere faser.

Lad os se på de tilsvarende sikkerhedsprocesser, der skal vedtages for hver fase i SDLC

SDLC-faser	Sikkerhedsprocesser
Krav	Sikkerhedsanalyse for krav og kontrollere misbrug / misbrugssager
Design	Analyse af sikkerhedsrisici til design. Udvikling af testplan inklusive sikkerhedstest
Kodning og enhedstest	Statisk og dynamisk test og sikkerhed White Box-test
Integrationstest	Black Box Testing
Systemtest	Black Box Testing og sårbarhedsscanning
Implementering	Penetrationstest, sårbarhedsscanning
Support	Effektanalyse af programrettelser

Testplanen skal indeholde

Sikkerhedsrelaterede testsager eller scenarier
Testdata relateret til sikkerhedstest
Testværktøjer, der kræves til sikkerhedstest
Analyse af forskellige testudgange fra forskellige sikkerhedsværktøjer

Eksempel på testscenarier til sikkerhedstest:

Eksempel på testscenarier for at give dig et glimt af sikkerhedstestsager -

En adgangskode skal være i krypteret format
Applikation eller system bør ikke tillade ugyldige brugere
Tjek cookies og sessionstid for anvendelse
For finansielle websteder skal browsertilbageknappen ikke fungere.

Metoder / tilgang / teknikker til sikkerhedstest

I sikkerhedstest følges forskellige metoder, og de er som følger:

Tiger Box : Denne hacking udføres normalt på en bærbar computer, der har en samling OS'er og hackingsværktøjer. Denne test hjælper penetrationstestere og sikkerhedstestere med at foretage sårbarhedsvurdering og angreb.
Black Box : Tester er autoriseret til at teste alt om netværkstopologien og teknologien.
Grå kasse : Delvis information gives til testeren om systemet, og det er en hybrid af hvide og sorte kasse modeller.

Roller til sikkerhedstest

Hackere - Få adgang til computersystem eller netværk uden tilladelse
Crackers - Bryde ind i systemerne for at stjæle eller ødelægge data
Ethical Hacker - Udfører de fleste af de brudende aktiviteter, men med tilladelse fra ejeren
Script Kiddies eller pakkeaber - Uerfarne hackere med programmeringssprog

Sikkerhedstestværktøj

1) Indtrænger

Intruder er en sårbarhedsscanner af virksomhedskvalitet, der er nem at bruge. Det kører over 10.000 sikkerhedskontroller i høj kvalitet på tværs af din IT-infrastruktur, som inkluderer, men ikke er begrænset til: konfigurationssvagheder, applikationssvagheder (såsom SQL-injektion og cross-site-scripting) og manglende programrettelser. Intruder leverer intelligent prioriterede resultater samt proaktive scanninger for de nyeste trusler og hjælper med at spare tid og beskytter virksomheder i alle størrelser mod hackere.

Funktioner:

AWS-, Azure- og Google Cloud-stik
Perimeter-specifikke resultater for at reducere din eksterne angrebsflade
Rapportering af høj kvalitet
Slack, Microsoft Teams, Jira, Zapier-integrationer
API-integration med din CI / CD-pipeline

2) Owasp

Open Web Application Security Project (OWASP) er en verdensomspændende non-profit organisation med fokus på at forbedre softwares sikkerhed. Projektet har flere værktøjer til pen-test af forskellige softwaremiljøer og protokoller. Projektets flagskibsværktøjer inkluderer

Zed Attack Proxy (ZAP - et integreret penetrations testværktøj)
OWASP Afhængighedskontrol (den scanner efter projektafhængighed og kontrollerer mod kendte sårbarheder)
OWASP Web Testing Environment Project (samling af sikkerhedsværktøjer og dokumentation)

3) WireShark

Wireshark er et netværksanalyseværktøj, der tidligere var kendt som Ethereal. Det fanger pakken i realtid og viser dem i menneskeligt læsbart format. Dybest set er det en netværkspakkeanalysator - som giver minutoplysninger om dine netværksprotokoller, dekryptering, pakkeoplysninger osv. Det er en open source og kan bruges på Linux, Windows, OS X, Solaris, NetBSD, FreeBSD og mange andre systemer. Oplysningerne, der hentes via dette værktøj, kan ses gennem en GUI eller TTY-tilstand TShark Utility.

4) W3af

w3af er en ramme om angreb og revision af webapplikationer. Den har tre typer plugins; opdagelse, revision og angreb, der kommunikerer med hinanden for eventuelle sårbarheder på webstedet, for eksempel ser et opdagelsesplugin i w3af efter forskellige webadresser til at teste for sårbarheder og videresende det til revisionspluginet, som derefter bruger disse URL'er til at søge efter sårbarheder.

Myter og fakta ved sikkerhedstest:

Lad os tale om et interessant emne om myter og fakta om sikkerhedstest:

Myte nr. 1 Vi har ikke brug for en sikkerhedspolitik, da vi har en lille virksomhed

Fakta: Alle og alle virksomheder har brug for en sikkerhedspolitik

Myte nr. 2 Der er ikke noget investeringsafkast i sikkerhedstest

Fakta: Sikkerhedstest kan pege på forbedringsområder, der kan forbedre effektiviteten og reducere nedetid, hvilket muliggør maksimal kapacitet.

Myte nr. 3 : Den eneste måde at sikre er at tage stikket ud.

Fakta: Den eneste og bedste måde at sikre en organisation på er at finde "Perfect Security". Perfekt sikkerhed kan opnås ved at udføre en kropsholdningsvurdering og sammenligne med forretningsmæssige, juridiske og industrielle begrundelser.

Myte nr. 4 : Internettet er ikke sikkert. Jeg vil købe software eller hardware for at beskytte systemet og redde virksomheden.

Fakta: Et af de største problemer er at købe software og hardware til sikkerhed. I stedet skal organisationen først forstå sikkerhed og derefter anvende den.

Konklusion:

Sikkerhedstest er den vigtigste test for en applikation og kontrollerer, om fortrolige data forbliver fortrolige. I denne type test spiller tester en rolle som angriberen og spiller rundt i systemet for at finde sikkerhedsrelaterede fejl. Sikkerhedstestning er meget vigtigt i Software Engineering for at beskytte data på alle måder.

Hvad er sikkerhedstestning? Typer med eksempel

Indholdsfortegnelse:

Hvad er sikkerhedstest?

Hvorfor sikkerhedstestning er vigtig?

Typer af sikkerhedstest:

Sådan udføres sikkerhedstest

Eksempel på testscenarier til sikkerhedstest:

Metoder / tilgang / teknikker til sikkerhedstest

Roller til sikkerhedstest

Sikkerhedstestværktøj

1) Indtrænger

2) Owasp

3) WireShark

4) W3af

Myter og fakta ved sikkerhedstest:

Sådan bruges Recovery Scenario i QTP / UFT med eksempel

Valgfrit trin i QTP / UFT med eksempel

Objekt Spy, GetRoProperty, GetToProperty i QTP / UFT med eksempel

Beskrivende programmering i QTP / UFT: Dynamisk & Statisk

Test automatiseringsrammer - Ting, du skal vide!

CSS-skrifttypefamilier - CSS-tricks

CSS Diagnostics - CSS-tricks

Kun forudindlæsning af CSS - CSS-tricks

CSS-hack, der er målrettet mod Firefox - CSS-tricks

CSS Grid Starter Layouts - CSS-tricks

# 138: Gå gennem en HTTPS-konvertering på WordPress - CSS-tricks

# 137: SVG er for alle - CSS-tricks

# 136: Flytning af ting til et CMS efter behov - CSS-tricks

# 142: Skjul ting med CSS - CSS-tricks

# 141: Få billederne og numrene til responsive billeder - CSS-tricks