Uvod u testiranje sigurnosti

Sigurnosno testiranje softverski je tip testiranja osmišljen da otkrije ranjivosti sustava i osigura da su njegove informacije i resursi zaštićeni od mogućih uljeza. Slično tome, web aplikacija zahtijeva zaštitu podataka u vezi s njezinim pristupom. Aplikacija bi trebala biti imuna na Brute Force Attacks i XSS, SQL Injections, od web programera. Slično tome, i udaljene pristupne točke web aplikacije moraju biti sigurne. Međutim, značaj sigurnosti raste eksponencijalno kada govorimo o internetu. Nitko nikada neće pomisliti da ako mrežni sustav ne može zaštititi podatke o transakcijama. Sigurnost još nije pojam za njezinu definiciju.
Evo nekih popisa sigurnosnih nedostataka
• Ako podružnica 'Ulaz' može uređivati ​​podatke o ispitu, sustav upravljanja studentima nije siguran.
• Ako DEO (operater za unos podataka) može pripremiti „izvještaje“, ERP shema nije sigurna.
• Ako klijentovi podaci o kreditnoj kartici nisu šifrirani, tada internetska web stranica nema sigurnost.
• Prilagođeni softver nema dovoljnu sigurnost kada SQL upit pronalazi istinske korisničke lozinke.

Vrste sigurnosnih ispitivanja

Priručnik sa metodičkim priručnikom za ispitivanje sigurnosti ima sedam glavnih vrsta sigurnosnih testova. Opisano je sljedeće:

1. Skeniranje ranjivosti

To se provodi putem automatiziranog softvera za skeniranje sustava na poznate potpise ranjivosti.

2. Sigurnosno skeniranje

To uključuje identificiranje slabosti u mreži i sustavu te nudi alternative za smanjenje takvih opasnosti. Za ručno i automatizirano skeniranje ovo se skeniranje može obaviti.

3. Ispitivanje prodorom

Ovaj test simulira zlonamjerni hakerski napad. Ovo ispitivanje uključuje analizu određenog sustava za otkrivanje potencijalnih ranjivosti na internom hakiranju.

4. Procjena rizika

Ovaj test uključuje analizu opasnosti koje se primjećuju u poduzeću. Rizici imaju nisku, srednju i visoku klasifikaciju. Ovaj test predlaže kontrole i radnje za smanjenje rizika.

5. Sigurnosna revizija

Revizija se također može provoditi online putem linije, provjere koda i operativnih sustava radi sigurnosnih kvarova.

6.Etičko sjeckanje

Etičko hakiranje nije isto što i zloćudno hakiranje. Etičko hakiranje usmjereno je na prepoznavanje sigurnosnih nedostataka u organizacijskoj strukturi.

7. Procjena držanja

Ovo kombinira sigurnosno skeniranje, procjene rizika i etičko hakiranje kako bi se prikazao cjelokupni sigurnosni položaj organizacije.

Metodologije ispitivanja sigurnosti

Postoje različite metodologije ispitivanja sigurnosti
1. Tigrova kutija
2. Crna kutija
3. Siva kutija

Tiger Box:

Ovo sjeckanje uglavnom se izvodi na prijenosnom računalu s OS-om i prikupljanju alata za hakiranje. Ovaj test omogućuje operaterima ispitivanja penetracije i operaterima sigurnosnih ispitivanja da procijene i napadnu ranjivosti.

Crna kutija:

Black Box Testing testiranje softvera poznato je ispitivaču kao Bihevioral Testing. Na taj način, interni dizajn ispitnog proizvoda nije poznat. Ovi ispiti mogu biti ili funkcionalni ili ne.

Siva kutija:

Grey Box Testing je tehnika testiranja softvera koja kombinira Black Box i White Box testiranje. Sivo testiranje je metoda za ispitivanje aplikacije ili softverskog proizvoda koja ima dio unutarnjeg djelovanja implementacije.

Kako možemo uraditi sigurnosno testiranje?

Oduvijek je dogovoreno da će se, ako odložimo sigurnosno testiranje nakon primjene softvera ili primjene, taj trošak povećati. U ranijim fazama sigurnosna ispitivanja moraju se provoditi u životnom ciklusu SDLC-a. Pogledajmo odgovarajuće sigurnosne postupke za svaku fazu SDLC. Za ulazna područja, ispitivač može pregledati maksimalne duljine. Ovo ograničenje ne može dopustiti hakeru da uključi takve zlonamjerne skripte.
• Zahtjevi za provjeru sigurnosti i provjere zloupotrebe / zlouporabe.
• Analiza sigurnosnih opasnosti za dizajn. Razvoj plana ispitivanja, uključujući sigurnosna ispitivanja.

10 najboljih alata za ispitivanje sigurnosnog koda

Ispod je popis najboljih alata za provjeru sigurnosti zajedno s njihovim značajkama. Možete odabrati bilo koji alat na temelju svojih potreba.

1. Wapiti

Wapiti je moćan alat za testiranje sigurnosti web aplikacija za procjenu sigurnosti vaše web aplikacije. Provodi 'testiranje crne kutije' kako bi provjerio moguću ranjivost u web aplikacijama. Skenira web stranice i ubrizgava informacije o testiranju radi praćenja sigurnosnih nedostataka tijekom faze ispitivanja. Wapiti definira više ranjivosti za podršku GET i POST HTTP napada. Wapiti je aplikacija za naredbe koja je početnicima teška, ali profesionalna jednostavna. Softver treba potpuno razumijevanje naredbi.

Značajke Wapitija

• XSS ubrizgavanje
• Ubrizgavanje baze podataka
• Otkrivanje izvršavanja naredbe.
• CRLF za ubrizgavanje

2. Zed Attack proxy

Zed Attack Proxy, uobičajeno poznat kao ZAP, ZAP je kreiran od strane OWASP-a i s tim ZAP-om je open-source. Zed Attack Proxy Podržani od strane Unix / Linux, Windows i Mac OS, Zed Attack Proxy omogućava prepoznavanje niza ranjivosti čak i tijekom faze razvoja i testiranja u web aplikacijama. Ovaj testni alat je jednostavan za upotrebu, čak i dok ste početnik probojnog testa.

Značajke Zed Attack

• Zed Attack Proxy ima podršku za skeniranje automatizacije i provjeru autentičnosti.
• Zed Attack Proxy također ima dinamički SSL certifikat i podršku za web utičnicu.

3. Vega

Napisana na JAVA, Vega ima GUI. Dostupan je na Linuxu, Mac OS-u i Windows-u koji vam mogu pomoći. Vega je besplatni alat za testiranje web aplikacija i Open Source platforma. Vega može pomoći u pronalaženju i provjeri SQL ubrizgavanja, skripta na različitim web lokacijama (XSS) i ostalih ranjivosti. Također se može koristiti za postavljanje postavki, poput broja potomaka staze i broja čvorova u sekundi, maksimalnog i minimalnog zahtjeva u sekundi.

Značajke Vege

• Vega ima skripta na više mjesta.
• Provjera SQL injekcije

4. W3af

W3af je poznati sigurnosni okvir za testiranje web aplikacija. Pruža učinkovitu platformu za testiranje penetracije web aplikacija, razvijenu pomoću Pythona. Ovaj se alat može upotrijebiti za prepoznavanje više od 200 vrsta problema sa sigurnošću internetskih aplikacija, poput križanja na više mjesta i ubrizgavanja SQL-a. Ona prati sljedeće ranjivosti web-aplikacija. W3af se lako može razumjeti i u GUI i na sučeljima konzole. Moduli za provjeru autentičnosti omogućuju vam i provjeru autentičnosti web stranice.

Značajke W3af

• Višestrukih oštećenja CORS postavke
• CSRF i puno veća ranjivost

5. Skipfish

Skipfish je alat za testiranje putem internetske aplikacije koji sanira web mjesto i provjerava ima li slabosti na svakoj stranici te na kraju priprema izvješće o reviziji. Skipfish je napisan c jezikom i optimiziran je za obradu HTTP-a i za odlaganje minimalnih CPU tragova. Bez prikazivanja CPU otisaka, softver koji tvrdi da obrađuje 2 K zahtjeva u sekundi. Alat također tvrdi da nudi visokokvalitetne pogodnosti jer koristi heuristiku u web aplikacijama. Za internetske aplikacije Linux, FreeBSD, Mac-OS X i Windows dostupni su sa alatima za procjenu sigurnosti Skipfish.

6. SQLMap

SQLMap je uobičajeni web-alat za testiranje sigurnosti za automatizaciju procesa otkrivanja ranjivosti SQL ubrizgavanja na bazi podataka web mjesta. Ispravljen u mnoštvu različitih značajki, testni motor je moćan, omogućava jednostavno prodiranje i testiranje SQL ubrizgavanja na web aplikaciji. SQLMap podržava mnoge baze podataka, uključujući MySQL, Oracle, PostgreSQL, Microsoft SQL itd. Pored toga, testni alat podržava šest različitih metoda SQL ubrizgavanja.

7. Wfuzz

Wfuzz je još jedan alat otvorenog koda koji može biti slobodno dostupan na tržištu za internetski alat za testiranje sigurnosti. Ovaj alat za testiranje razvijen je u Pythonu i koristi se za web aplikacije za grubu silu. Kada koristite WFuzz, morate raditi na sučelju naredbenog retka jer ne postoji GUI sučelje. Neke od karakteristika Wfuzza su:

Značajke Wfuzza

• Wifuzz podržava više točaka ubrizgavanja.
• WPuzz OutPut dolazi u HTML-u
• Također ima Multi-navojem
• Također ima podršku za više proxyja

8. Metasploit

Jedan od najčešće korištenih okvira za penetracijske testove. Metasploit je platforma za ispitivanje otvorenog koda koja omogućuje sigurnosna ispitivanja koja su daleko izvan procjene rizika.

Značajke Metasploita

• Struktura je daleko bolja od strukture suparnika.
• Mnogi scenariji za iznuđivanje funkcija infiltracije

9. Acunetix

Potpuni alat za procjenu penetracije automatizacije za skeniranje web stranica na 4500 + ranjivosti. Acunetixova najupečatljivija značajka je ta što može bez problema prekinuti tisuće stranica.

Značajka Acunetixa

  • Može lako proizvesti mnoge tehničke i pravne lijekove.
  • Skenira i open-source i personalizirane aplikacije
  • Dubinsko skeniranje za učinkovito skeniranje.

10. Grabber

Grabber je skener otvorenog koda koji otkriva sigurnosne ranjivosti internetskih aplikacija. Male web aplikacije poput foruma i privatnih internetskih stranica mobilne su i mogu se skenirati. Grabber je mali alat za testiranje koji traje više vremena za skeniranje velikih aplikacija. Uz to, skener nema GUI sučelje i nema mogućnost generiranja PDF izvještaja jer je dizajniran za osobnu upotrebu.

Značajke Grabera

• Sigurnosna kopija datoteke za provjeru
• Provjera Ajaxa

Zaključak

U ovom smo članku vidjeli što je sigurnosno testiranje, zašto nam to treba zajedno s različitim vrstama sigurnosnog testiranja, alatima koji se koriste za provođenje testiranja i značajkama. Nadam se da će vam ovaj članak pomoći u odabiru alata za testiranje na temelju gore navedenih zahtjeva i značajki.

Preporučeni članci

Ovo je vodič za sigurnosno testiranje. Ovdje smo raspravljali o uvođenju, vrstama, metodologijama i Top 10 alata za testiranje otvorenog koda. Možete i proći naše druge predložene članke da biste saznali više -

  1. Alpha Testing vs Beta testiranje
  2. Statičko ispitivanje
  3. Što je testiranje upotrebljivosti?
  4. Alati za testiranje performansi
  5. Prednosti i nedostaci Beta testiranja
  6. Saznajte alate za testiranje aplikacija

Kategorija:

Razvoj softvera