Owasp tesztelési útmutató fordítása

előzőa következő

Bemutatom Önnek egy sor cikket a webes alkalmazás biztonságának tesztelésének legteljesebb módszereiről - az OWASP tesztelési útmutató.

Tesztelés: bevezetés és feladatok

Ez a rész leírja az OWASP webes alkalmazások biztonságának tesztelésének módszertanát, és megmagyarázza, hogyan kell keresni a biztonsági hibák által okozott biztonsági réseket.

Mi a webes alkalmazás biztonsági tesztelése?
A biztonsági tesztelés egy számítógépes rendszer vagy hálózat biztonságának értékelésére szolgál, amely rendszeresen ellenőrzi a védelem hatékonyságát. A webes alkalmazások biztonságának tesztelése csak a webes alkalmazások biztonságának értékelésére összpontosít. A tesztelési folyamat magában foglalja az aktív keresést az alkalmazásban jelentkező gyengeségekről, technikai hibákról vagy sérülékenységekről. Bármelyik felfedezett biztonsági problémát be kell jelenteni a rendszer tulajdonosa számára, az észlelt problémák hatásának felmérése és azok elhárításának lehetséges módjai is rendelkezésre állnak.

Mi a sebezhetőség?
A biztonsági rés hiba vagy gyengeség egy olyan rendszer tervezésében vagy végrehajtásában, amelynek az ekspelatatsiya kompromittálhatja az egész rendszert.

Mi fenyegetés?
A fenyegetés lehet minden (külső támadó, belső felhasználó, rendszer instabilitása stb.), Ami károsíthatja az alkalmazás által használt eszközöket (az adatbázisban vagy a fájlrendszerben lévő adatok), miközben kihasználja a biztonsági rést.

Mi a tesztelés?
A tesztelés megvizsgálja, hogy a webes alkalmazás megfelel-e az összes biztonsági követelménynek.

Megközelítés az útmutató leírásához
Ez a kézikönyv nyitott és közös:

  • Nyitott: minden információbiztonsági szakértő részt vehet tapasztalata ellenére. Ez a projekt is teljesen ingyenes.
  • Közös: a cikk közzététele előtt megvitatásra kerül, amelynek célja a résztvevők ötleteinek egyesítése.

Ennek a megközelítésnek a célja, hogy olyan tesztelési módszertant hozzon létre, amely:

  • soros;
  • reprodukálható;
  • óvatos;
  • A minőségellenőrzés alatt.

A figyelembe veendő problémák teljes mértékben dokumentáltak és teszteltek. Fontos, hogy a módszertant minden ismert sebezhetőség tesztelésénél használja, az összes elvégzett művelet dokumentálására is szükség van.

Mi az OWASP tesztelési módszertan?

A biztonsági tesztelés soha nem lesz pontos tudomány, és meg kell vizsgálni a lehetséges problémák listáját. Tény, hogy a biztonsági tesztelés tesztelése számos módja annak, hogy bizonyos körülmények között teszteljék a webes alkalmazásokat. A projekt célja, hogy összegyűjtse az összes lehetséges vizsgálati módszert, magyarázza meg ezeket a módszereket, és naprakészen tartsa ezt a kézikönyvet. Az OWASP webes alkalmazás biztonsági tesztelési módszere a fekete doboz módszeren alapul. A vizsgált alkalmazással kapcsolatos információk korlátozottak vagy egyáltalán nem állnak rendelkezésre.

A vizsgálati modell a következő elemekből áll:

  • Tester - aki végzi a tesztelést;
  • Eszközök és módszertan - a projekt lényege;
  • Olyan alkalmazás, amelyet a fekete doboz módszerrel teszteltek.

A tesztelés általában két szakaszra bontható:

A passzív fázisban a tesztelő megpróbálja megérteni az alkalmazás logikáját és "játszani" vele. Az információgyűjtés eszközei felhasználhatók. Például egy HTTP-proxy használatával megvizsgálhatja az összes HTTP-kérést és választ. E lépés végén a tesztelőnek meg kell értenie az összes alkalmazásbeviteli pontot (például HTTP fejléceket, paramétereket és cookie-kat). Az "Információgyűjtés" szakaszban bemutatjuk, hogyan kell tesztelni a passzív fázisban.

Például egy tesztelő találhat valami ilyesmit:

Ez az URL jelezheti a felhasználónevet és a jelszót igénylő hitelesítési űrlap létezését.

Az alábbi paraméterek két bejegyzéspontot jelentenek az alkalmazásban:

A passzív fázis során talált összes belépési pontot a jövőben meg kell vizsgálni. A következõ szakaszban is hasznos lehet táblázatot készíteni a könyvtárakkal és alkalmazásfájlokkal, minden bejövõ ponttal (a proxyk elfogása hasonló táblázatot készíthet, minden kérelmet tárolhat és paramétereket jeleníthet meg).

Ebben a fázisban a tesztelő a következő szakaszokból álló módszertan szerint vizsgálatokat végez.

Minden tesztet tizenegy alfejezetre osztottak:

előzőa következő