Owasp tesztelési útmutató fordítása
Bemutatom Önnek egy sor cikket a webes alkalmazás biztonságának tesztelésének legteljesebb módszereiről - az OWASP tesztelési útmutató.
Tesztelés: bevezetés és feladatok
Ez a rész leírja az OWASP webes alkalmazások biztonságának tesztelésének módszertanát, és megmagyarázza, hogyan kell keresni a biztonsági hibák által okozott biztonsági réseket.
Mi a webes alkalmazás biztonsági tesztelése?
A biztonsági tesztelés egy számítógépes rendszer vagy hálózat biztonságának értékelésére szolgál, amely rendszeresen ellenőrzi a védelem hatékonyságát. A webes alkalmazások biztonságának tesztelése csak a webes alkalmazások biztonságának értékelésére összpontosít. A tesztelési folyamat magában foglalja az aktív keresést az alkalmazásban jelentkező gyengeségekről, technikai hibákról vagy sérülékenységekről. Bármelyik felfedezett biztonsági problémát be kell jelenteni a rendszer tulajdonosa számára, az észlelt problémák hatásának felmérése és azok elhárításának lehetséges módjai is rendelkezésre állnak.
Mi a sebezhetőség?
A biztonsági rés hiba vagy gyengeség egy olyan rendszer tervezésében vagy végrehajtásában, amelynek az ekspelatatsiya kompromittálhatja az egész rendszert.
Mi fenyegetés?
A fenyegetés lehet minden (külső támadó, belső felhasználó, rendszer instabilitása stb.), Ami károsíthatja az alkalmazás által használt eszközöket (az adatbázisban vagy a fájlrendszerben lévő adatok), miközben kihasználja a biztonsági rést.
Mi a tesztelés?
A tesztelés megvizsgálja, hogy a webes alkalmazás megfelel-e az összes biztonsági követelménynek.
Megközelítés az útmutató leírásához
Ez a kézikönyv nyitott és közös:
- Nyitott: minden információbiztonsági szakértő részt vehet tapasztalata ellenére. Ez a projekt is teljesen ingyenes.
- Közös: a cikk közzététele előtt megvitatásra kerül, amelynek célja a résztvevők ötleteinek egyesítése.
Ennek a megközelítésnek a célja, hogy olyan tesztelési módszertant hozzon létre, amely:
- soros;
- reprodukálható;
- óvatos;
- A minőségellenőrzés alatt.
A figyelembe veendő problémák teljes mértékben dokumentáltak és teszteltek. Fontos, hogy a módszertant minden ismert sebezhetőség tesztelésénél használja, az összes elvégzett művelet dokumentálására is szükség van.
Mi az OWASP tesztelési módszertan?
A biztonsági tesztelés soha nem lesz pontos tudomány, és meg kell vizsgálni a lehetséges problémák listáját. Tény, hogy a biztonsági tesztelés tesztelése számos módja annak, hogy bizonyos körülmények között teszteljék a webes alkalmazásokat. A projekt célja, hogy összegyűjtse az összes lehetséges vizsgálati módszert, magyarázza meg ezeket a módszereket, és naprakészen tartsa ezt a kézikönyvet. Az OWASP webes alkalmazás biztonsági tesztelési módszere a fekete doboz módszeren alapul. A vizsgált alkalmazással kapcsolatos információk korlátozottak vagy egyáltalán nem állnak rendelkezésre.
A vizsgálati modell a következő elemekből áll:
- Tester - aki végzi a tesztelést;
- Eszközök és módszertan - a projekt lényege;
- Olyan alkalmazás, amelyet a fekete doboz módszerrel teszteltek.
A tesztelés általában két szakaszra bontható:
A passzív fázisban a tesztelő megpróbálja megérteni az alkalmazás logikáját és "játszani" vele. Az információgyűjtés eszközei felhasználhatók. Például egy HTTP-proxy használatával megvizsgálhatja az összes HTTP-kérést és választ. E lépés végén a tesztelőnek meg kell értenie az összes alkalmazásbeviteli pontot (például HTTP fejléceket, paramétereket és cookie-kat). Az "Információgyűjtés" szakaszban bemutatjuk, hogyan kell tesztelni a passzív fázisban.
Például egy tesztelő találhat valami ilyesmit:
Ez az URL jelezheti a felhasználónevet és a jelszót igénylő hitelesítési űrlap létezését.
Az alábbi paraméterek két bejegyzéspontot jelentenek az alkalmazásban:
A passzív fázis során talált összes belépési pontot a jövőben meg kell vizsgálni. A következõ szakaszban is hasznos lehet táblázatot készíteni a könyvtárakkal és alkalmazásfájlokkal, minden bejövõ ponttal (a proxyk elfogása hasonló táblázatot készíthet, minden kérelmet tárolhat és paramétereket jeleníthet meg).
Ebben a fázisban a tesztelő a következő szakaszokból álló módszertan szerint vizsgálatokat végez.
Minden tesztet tizenegy alfejezetre osztottak: