Kas yra saugumo testavimas? Tipai su pavyzdžiu

Kas yra saugumo testavimas?

SAUGUMO TESTAVIMAS - tai programinės įrangos testavimo tipas, kuris atskleidžia programinės įrangos pažeidžiamumą, grėsmes, riziką ir apsaugo nuo kenkėjiškų įsibrovėlių išpuolių. Saugos testų tikslas yra nustatyti visas galimas programinės įrangos sistemos spragas ir trūkumus, dėl kurių gali sumažėti informacija, pajamos, reputacija organizacijos darbuotojų ar pašalinių asmenų rankose.

Kodėl saugumo testavimas yra svarbus?

Pagrindinis saugumo testavimo tikslas yra nustatyti grėsmes sistemoje ir įvertinti galimus jos pažeidžiamumus, todėl su grėsmėmis galima susidurti, o sistema nenustoja veikti arba jos negalima išnaudoti. Tai taip pat padeda nustatyti visas galimas saugos rizikas sistemoje ir padeda kūrėjams išspręsti problemas koduojant.

Šioje pamokoje sužinosite

Kas yra saugumo testavimas?
Saugumo testavimo tipai
Kaip atlikti saugumo testavimą
Saugumo testavimo bandymų scenarijų pavyzdžiai
Saugumo testavimo metodikos / požiūris / metodikos
Saugumo testavimo vaidmenys
Saugumo testavimo įrankis
Saugumo testavimo mitai ir faktai

Saugumo testavimo tipai:

Pagal atvirojo kodo saugos testavimo metodikos vadovą yra septyni pagrindiniai saugos testavimo tipai. Jie paaiškinami taip:

Pažeidžiamumo nuskaitymas : tai atliekama naudojant automatinę programinę įrangą, skirtą sistemai nuskaityti pagal žinomus pažeidžiamumo parašus.
Saugumo nuskaitymas: tai apima tinklo ir sistemos trūkumų nustatymą, o vėliau pateikia sprendimus, kaip sumažinti šią riziką. Šį nuskaitymą galima atlikti tiek rankiniu, tiek automatiniu nuskaitymu.
Skverbimosi testavimas : tokio tipo bandymai imituoja kenkėjiško įsilaužėlio ataką. Šis bandymas apima tam tikros sistemos analizę, siekiant patikrinti galimą išorinio įsilaužimo pažeidžiamumą.
Rizikos vertinimas: Šis bandymas apima organizacijoje pastebėtos saugumo rizikos analizę. Rizikos yra klasifikuojamos kaip mažos, vidutinės ir didelės. Šiame bandyme rekomenduojamos kontrolės priemonės ir rizikos mažinimo priemonės.
Saugumo auditas: tai vidinis programų ir operacinių sistemų patikrinimas, ar nėra saugos trūkumų. Auditas taip pat gali būti atliekamas naudojant eilutės kodo patikrinimą
Etinis įsilaužimas: tai įsilaužimas į organizacijos programinės įrangos sistemas. Skirtingai nuo kenkėjiškų įsilaužėlių, kurie vagia savo naudai, ketinama atskleisti sistemos saugumo trūkumus.
Laikysenos vertinimas: tai sujungia saugumo nuskaitymą, etinį įsilaužimą ir rizikos vertinimus, kad parodytų bendrą organizacijos saugos padėtį.

Kaip atlikti saugumo testavimą

Visada sutariama, kad išlaidos bus didesnės, jei saugos testavimą atidedame po programinės įrangos diegimo etapo arba po diegimo. Taigi ankstesniuose etapuose būtina įtraukti saugos testavimą į SDLC gyvavimo ciklą.

Panagrinėkime atitinkamus saugos procesus, kurie bus pritaikyti kiekvienam SDLC etapui

SDLC fazės	Saugumo procesai
Reikalavimai	Reikalavimų saugumo analizė ir piktnaudžiavimo / netinkamo naudojimo atvejų patikrinimas
Dizainas	Saugumo rizikos analizė projektuojant. Testų plano, įskaitant saugumo testus, kūrimas
Kodavimas ir vieneto testavimas	Statinis ir dinaminis testavimas ir saugos baltosios dėžės testavimas
Integracijos testavimas	Juodosios dėžės testavimas
Sistemos testavimas	Juodosios dėžės testavimas ir pažeidžiamumo nuskaitymas
Įgyvendinimas	Skverbimosi testavimas, pažeidžiamumo nuskaitymas
Parama	Pleistrų poveikio analizė

Bandymo plane turėtų būti:

Su saugumu susijusių bandymų atvejai ar scenarijai
Testavimo duomenys, susiję su saugumo testavimu
Saugos testavimui reikalingos bandymo priemonės
Įvairių bandymų rezultatų iš skirtingų saugos priemonių analizė

Saugumo testavimo bandymų scenarijų pavyzdžiai:

Bandymo scenarijų pavyzdžiai, kad galėtumėte pažvelgti į saugumo bandymų atvejus -

Slaptažodis turi būti užkoduotas
Programa ar sistema neturėtų leisti negaliojančių vartotojų
Patikrinkite slapukus ir seanso laiką
Finansų svetainėse mygtukas Naršyklės atgal neturėtų veikti.

Saugumo testavimo metodikos / požiūris / metodikos

Atliekant saugumo bandymus, laikomasi skirtingų metodikų:

„Tiger Box“ : šis įsilaužimas paprastai atliekamas nešiojamame kompiuteryje, kuriame yra OS ir įsilaužimo įrankių kolekcija. Šis testavimas padeda įsiskverbimo ir saugumo testuotojams atlikti pažeidžiamumo vertinimą ir atakas.
„Juodoji dėžė“ : bandytojas turi teisę atlikti visko, susijusio su tinklo topologija ir technologija, testavimą.
Pilka dėžutė : bandytojui pateikiama dalinė informacija apie sistemą ir tai baltos ir juodos dėžės modelių hibridas.

Saugumo testavimo vaidmenys

Piratai - prieikite prie kompiuterinės sistemos ar tinklo be leidimo
Krekeriai - įsilaužkite į sistemas, kad pavogtumėte ar sunaikintumėte duomenis
„Ethical Hacker“ - atlieka didžiąją dalį laužymo veiklos, bet turėdamas savininko leidimą
„Script Kiddies“ arba paketinės beždžionės - nepatyrę programišiai, turintys programavimo kalbos įgūdžių

Saugumo testavimo įrankis

1) Įsibrovėlis

„Intruder“ yra įmonės lygio pažeidžiamumo skaitytuvas, kurį lengva naudoti. Tai atlieka daugiau nei 10 000 aukštos kokybės saugos patikrinimų visoje jūsų IT infrastruktūroje, įskaitant, bet neapsiribojant, konfigūracijos trūkumus, programų silpnybes (pvz., SQL įpurškimą ir kelių svetainių scenarijus) ir trūkstamus pataisymus. Pateikdamas pažangiai prioritetinius rezultatus ir aktyviai ieškodamas naujausių grėsmių, „Intruder“ padeda sutaupyti laiko ir apsaugo visų dydžių įmones nuo įsilaužėlių.

Funkcijos:

AWS, „Azure“ ir „Google Cloud“ jungtys
Konkretaus perimetro rezultatai, siekiant sumažinti išorinį atakos paviršių
Aukštos kokybės ataskaitos
„Slack“, „Microsoft Teams“, „Jira“, „Zapier“ integracijos
API integravimas su jūsų CI / CD vamzdynu

2) Owasp

„Open Web Application Security Project“ (OWASP) yra pasaulinė ne pelno organizacija, orientuota į programinės įrangos saugumo gerinimą. Projekte yra keli įrankiai, skirti išbandyti įvairias programinės įrangos aplinkas ir protokolus. Pagrindiniai projekto įrankiai apima

„Zed Attack Proxy“ (ZAP - integruotas įsiskverbimo testavimo įrankis)
OWASP priklausomybės patikrinimas (tikrina projekto priklausomybes ir tikrina, ar nėra pažeidžiamumų)
OWASP žiniatinklio testavimo aplinkos projektas (saugos įrankių ir dokumentų rinkinys)

3) „WireShark“

„Wireshark“ yra tinklo analizės priemonė, anksčiau žinoma kaip „Ethereal“. Tai užfiksuoja paketus realiu laiku ir pateikia juos žmonėms suprantamu formatu. Iš esmės tai yra tinklo paketinis analizatorius, kuris pateikia išsamią informaciją apie jūsų tinklo protokolus, iššifravimą, paketų informaciją ir kt. Tai yra atviras šaltinis ir gali būti naudojamas „Linux“, „Windows“, OS X, „Solaris“, „NetBSD“, „FreeBSD“ ir daugelyje kitų. kitos sistemos. Informaciją, kuri gaunama naudojant šį įrankį, galima peržiūrėti naudojant GUI arba TTY režimo „TShark Utility“.

4) W3af

w3af yra žiniatinklio programų ataka ir audito sistema. Jis turi trijų tipų papildinius; atradimas, auditas ir ataka, kurie tarpusavyje bendrauja dėl bet kokių svetainės pažeidžiamumų, pvz., „w3af“ atradimo papildinys ieško skirtingų URL, kad patikrintų pažeidžiamumą, ir persiunčia jį audito papildiniui, kuris tada naudoja šiuos URL spragoms ieškoti.

Mitai ir faktai apie saugumo testavimą:

Pakalbėkime apie įdomią temą apie saugumo testų mitus ir faktus:

1 mitas Mums nereikia saugumo politikos, nes turime smulkų verslą

Faktas: Visiems ir kiekvienai įmonei reikalinga saugumo politika

2 mitas Nėra investicijų grąžos į saugumo bandymus

Faktas: Saugumo testavimas gali nurodyti tobulintinas sritis, kurios gali pagerinti efektyvumą ir sumažinti prastovą, suteikiant maksimalų pralaidumą.

3 mitas : vienintelis būdas apsaugoti yra jo atjungimas.

Faktas: vienintelis ir geriausias būdas apsaugoti organizaciją yra rasti „tobulą saugumą“. Puikus saugumas gali būti pasiektas atlikus laikysenos vertinimą ir palyginus su verslo, teisiniais ir pramonės pagrindimais.

4 mitas : internetas nėra saugus. Įsigysiu programinę ar aparatinę įrangą, kad apsaugotų sistemą ir išsaugotų verslą.

Faktas: Viena didžiausių problemų yra programinės ir techninės įrangos pirkimas saugumui užtikrinti. Vietoj to, organizacija pirmiausia turėtų suprasti saugumą ir tada jį pritaikyti.

Išvada:

Saugumo testavimas yra svarbiausias programos testavimas ir patikrinama, ar konfidencialūs duomenys lieka konfidencialūs. Tokio tipo bandymuose testuotojas atlieka užpuoliko vaidmenį ir žaidžia sistemoje, kad rastų su saugumu susijusių klaidų. Saugumo testavimas yra labai svarbus programinės įrangos inžinerijoje, siekiant apsaugoti duomenis visomis priemonėmis.

Kas yra saugumo testavimas? Tipai su pavyzdžiu

Turinys:

Kas yra saugumo testavimas?

Kodėl saugumo testavimas yra svarbus?

Saugumo testavimo tipai:

Kaip atlikti saugumo testavimą

Saugumo testavimo bandymų scenarijų pavyzdžiai:

Saugumo testavimo metodikos / požiūris / metodikos

Saugumo testavimo vaidmenys

Saugumo testavimo įrankis

1) Įsibrovėlis

2) Owasp

3) „WireShark“

4) W3af

Mitai ir faktai apie saugumo testavimą:

„JMeter“ procesorius: „PreProcessor & PostProcessor

Geriausia „Jmeter“ testų praktika ir Apkrovos testavimas

HTTP tarpinis serveris „JMeter“: įrašykite scenarijaus pavyzdį

Geriausios 8 „JMeter“ alternatyvos 2021 m

23 populiariausi „JMeter“ interviu klausimai ir Atsakymai

17 geriausių „Stock Video“ svetainių 2021 m. (Mokama / nemokama filmuota medžiaga)

15 geriausių nemokamų „Windows“ kompiuterių ekrano įrašymo programinės įrangos

20 geriausių „Windows“ internetinių kamerų programinės įrangos (2021)

15 geriausių MAC ekrano įrašymo programinės įrangos (nemokama / mokama)

22 geriausios „Sketchup“ alternatyvos 2021 m

Gauti nuorodų formą („Google Maps“) CSS-gudrybės

„iPhone“ skambinimo ir žinučių siuntimo nuorodos CSS-gudrybės

HTML5 puslapio struktūra - CSS-gudrybės

Laikykitės blykstės už kitų elementų CSS-gudrybės

Loremo Ipsumo pastraipa - CSS-gudrybės