Увод у безбедносно тестирање

Сигурносно тестирање је врста софтверског тестирања дизајнирана да открива рањивости система и осигура да су његове информације и ресурси заштићени од могућих уљеза. Слично томе, веб апликацији је потребна заштита података, поред заштите података. Апликација би требало да буде имуна на Бруте Форце Аттацкс и КССС, СКЛ Ињецтионс, од веб програмера. Слично томе, и удаљене приступне тачке веб апликације морају бити безбедне. Међутим, значај сигурности расте експоненцијално када говоримо о интернету. Нико никада неће помислити да ако мрежни систем не може заштитити податке о трансакцијама. Безбедност још није термин за њену дефиницију.
Ево неких листа пропуста у безбедности
• Ако огранак 'Улаз' може да уређује податке о испиту, систем управљања студентима је несигуран.
• Ако ДЕО (оператер за унос података) може припремити „извештаје“, ЕРП шема није сигурна.
• Ако подаци о кредитној картици клијента нису шифровани, онда веб локација на мрежи нема сигурност.
• Персонализовани софтвер нема довољну сигурност када СКЛ упит проналази истинске корисничке лозинке.

Врсте безбедносног тестирања

Приручник са методичким приручником за испитивање сигурности има седам главних врста сигурносних тестова. Следеће су описане:

1. Скенирање рањивости

То се изводи путем аутоматизованог софтвера за скенирање система на познате потписе рањивости.

2. Сигурносно скенирање

То укључује препознавање слабости у мрежи и систему и нуди алтернативе за смањење таквих опасности. За ручно и аутоматизовано скенирање ово скенирање се може обавити.

3. Испитивање продором

Овај тест симулира злонамјерни хакерски напад. Ово испитивање укључује анализу одређеног система за откривање потенцијалних рањивости на интерно хаковање.

4. Процена ризика

Овај тест укључује анализу опасности по безбедност које су примећене у компанији. Ризици имају ниску, средњу и високу класификацију. Овај тест предлаже контроле и акције за смањење ризика.

5. Ревизија сигурности

Ревизија се такође може вршити путем интернета путем линије, инспекције кода и оперативних система због сигурносних грешака.

6.Етичко хаковање

Етичко хакирање није исто што и злоћудно хакирање. Етичко хаковање има за циљ идентификовање сигурносних недостатака у организационој структури.

7. Процена држања

Ово комбинује скенирање сигурности, процене ризика и етичко хаковање како би се приказао општи безбедносни положај организације.

Методологије испитивања безбедности

Постоје различите методологије испитивања безбедности
1. Тигер Бок
2. Црна кутија
3. Сива кутија

Тигер Бок:

Ово хаковање се углавном изводи на лаптопу са ОС-ом и колекцијом алата за хаковање. Овај тест омогућава оператерима за пенетрацијско тестирање и оператерима за тестирање сигурности да процијене и нападну рањивости.

Црна кутија:

Блацк Бок Тестинг је метода тестирања софтвера позната тестеру као Бихевиорал Тестинг. На овај начин, интерни дизајн испитног производа није познат. Ови испити могу бити или функционални или не.

Сива кутија:

Греи Бок Тестинг је техника тестирања софтвера која комбинује Блацк Бок и Вхите Бок тестирање. Греи Бок Тестинг је метода за тестирање апликације или софтверског производа која има део унутрашње функције имплементације.

Како можемо да урадимо безбедносно тестирање?

Одувек је било сагласно да ако одложимо безбедносно тестирање након имплементације или примене софтвера, овај трошак ће бити повећан. У ранијим фазама сигурносни тестови морају се вршити у СДЛЦ животном циклусу. Погледајмо одговарајуће безбедносне поступке за сваку фазу СДЛЦ. За подручја уноса, Тестер може прегледати максималне дужине. Ово ограничење не може дозволити хакеру да укључује такве злонамерне скрипте.
• Захтеви безбедносне процене и провере злоупотребе / злоупотребе.
• Анализа опасности по безбедност дизајна. Развој плана теста, укључујући безбедносна испитивања.

Топ 10 алата за испитивање безбедности отвореног кода

Испод је листа најбољих алата за безбедносно тестирање заједно са њиховим карактеристикама. Можете одабрати било који алат на основу ваших потреба.

1. Вапити

Вапити је моћан алат за тестирање сигурности веб апликација за процјену сигурности ваше веб апликације. Он врши 'тестирање црне кутије' како би провјерио потенцијалну рањивост у веб апликацијама. Скенира веб странице и убризгава информације о тестирању ради праћења сигурносног недостатка током фазе тестирања. Вапити дефинише више рањивости за подршку ГЕТ и ПОСТ ХТТП напада. Вапити је апликација за команде која је тешка за почетнике, али једноставна за професионалце. Софтверу је потребно потпуно разумевање команде.

Карактеристике Вапитија

• КССС убризгавање
• Убризгавање базе података
• Детекција извршавања команде.
• ЦРЛФ за убризгавање

2. Зед Аттацк Проки

Зед Аттацк Проки, познатији као ЗАП, ЗАП је креиран од стране ОВАСП и са тим ЗАП је опен-соурце. Зед Аттацк Проки који подржава Уник / Линук, Виндовс и Мац ОС, Зед Аттацк Проки омогућава вам да идентификујете низ рањивости чак и током фазе развоја и тестирања у веб апликацијама. Овај тест алат је једноставан за употребу, чак и док сте почетник испитивања продора.

Карактеристике Зед Аттацк-а

• Зед Аттацк Проки има подршку за скенирање аутоматизације и подршку за аутентификацију.
• Зед Аттацк Проки такође поседује динамички ССЛ сертификат и подршку за Веб Соцкет.

3. Вега

Написана на ЈАВА, Вега има ГУИ. Доступан је на Линуку, Мац ОС-у и Виндовс-у који вам могу помоћи. Вега је бесплатни алат за тестирање веб апликација и платформа отвореног кода. Вега може помоћи у проналажењу и провери СКЛ убризгавања, скрипта на различитим локацијама (КССС) и других рањивости. Такође се може користити за подешавање поставки, попут броја потомака пута и броја чворова у секунди, максималног и минималног захтева у секунди.

Карактеристике Веге

• Вега има скрипта на више места.
• Провера СКЛ убризгавања

4. В3аф

В3аф је познати оквир за тестирање сигурности за веб апликације. Омогућава ефикасну платформу за тестирање пенетрације веб апликација, развијену користећи Питхон. Овај алат се може користити за препознавање више од 200 врста проблема са сигурношћу путем Интернет апликација, као што су скрипта на више места и убризгавање СКЛ-а. Она прати следеће рањивости веб апликација. В3аф се може лако разумети и у ГУИ и на конзолама. Модули за потврду идентитета такође вам омогућавају аутентификацију веб локације.

Карактеристике В3аф

• Вишеструка оштећења ЦОРС
• ЦСРФ и много већа рањивост

5. Скипфисх

Скипфисх је алат за тестирање путем интернетске апликације који исправља веб локацију и провјерава има ли слабости на свакој страници и на крају припрема извјештај о ревизији. Скипфисх је написан на језику ц и оптимизован је за руковање ХТТП-ом и за одлагање минималних ЦПУ отисака. Без приказивања ЦПУ отисака, софтвер који тврди да обрађује 2 К захтеве у секунди. Алат такође тврди да нуди висококвалитетне предности јер користи хеуристику у веб апликацијама. За интернет апликације Линук, ФрееБСД, Мац-ОС Кс и Виндовс доступни су алати за процену безбедности Скипфисх-а.

6. СКЛМап

СКЛМап је уобичајени веб-алат за тестирање безбедности за аутоматизацију процеса откривања рањивости СКЛ убризгавања на бази веб локација. Пакет са много различитих функција, тест мотор је моћан, омогућава једноставно продирање и тестирање СКЛ убризгавања на веб апликацији. СКЛМап подржава многе базе података, укључујући МиСКЛ, Орацле, ПостгреСКЛ, Мицрософт СКЛ итд. Поред тога, тест алат подржава шест различитих метода СКЛ убризгавања.

7. Вфузз

Вфузз је још један алат отвореног кода који може бити слободно доступан на тржишту за веб алат за тестирање безбедности на мрежи. Овај алат за тестирање развијен је у Питхон-у и користи се за веб апликације за грубу силу. Морате да користите интерфејс командне линије када користите ВФузз јер не постоји ГУИ сучеље. Неке од карактеристика Вфузза су:

Карактеристике Вфузза

• Вифузз подржава више тачака убризгавања.
• ВПузз ОутПут долази у ХТМЛ-у
• Такође има Мулти-навојем
• Такође има вишеструку прокси подршку

8. Метасплоит

Један од најчешће кориштених оквира за пенетрацијске тестове. Метасплоит је платформа за тестирање отвореног кода која омогућава безбедносне тестове далеко више од процене ризика.

Карактеристике Метасплоита

• Структура је далеко боља од структуре ривала.
• Многи сценарији за изнуђивање функција инфилтрације

9. Ацунетик

Комплетан алат за процену продора аутоматизације за скенирање ваших веб локација на 4500 + рањивости. Најупечатљивија карактеристика Ацунетика је та што може да прекида на хиљаде страница без прекида.

Значајка Ацунетика

  • Може лако произвести многе техничке и правне лекове.
  • Скенира и опен-соурце и персонализоване апликације
  • Дубоко скенирање за ефикасно скенирање.

10. Граббер

Граббер је скенер отвореног кода који открива сигурносне рањивости интернет апликација. Мале веб апликације као што су форуми и приватне веб локације су мобилне и могу се скенирати. Граббер је мали алат за тестирање којем је потребно више времена за скенирање великих апликација. Поред тога, скенер нема ГУИ интерфејс и нема могућност генерисања ПДФ извештаја јер је дизајниран за личну употребу.

Карактеристике Грабера

• Сигурносна копија датотеке за потврду
• Ајак верификација

Закључак

У овом чланку смо видели шта је безбедносно тестирање, зашто нам треба заједно са различитим врстама безбедносног тестирања, алатима који се користе за обављање тестирања и карактеристикама. Надам се да ће вам овај чланак помоћи у одабиру алата за тестирање на основу ваших захтева и карактеристика датих горе.

Препоручени чланци

Ово је водич за безбедносно тестирање. Овде смо расправљали о увођењу, типовима, методологијама и Топ 10 алата за испитивање безбедности отвореног кода. Можете и да прођете кроз друге наше предложене чланке да бисте сазнали више -

  1. Алпха Тестинг вс Бета тестирање
  2. Статичко испитивање
  3. Шта је тестирање употребљивости?
  4. Алати за тестирање перформанси
  5. Предности и недостаци Бета тестирања
  6. Сазнајте алате за тестирање апликација

Категорија:

Развој софтвера