Тестирование на проникновение, или тестирование безопасности, как его иногда называют, является важной частью всестороннего тестирования программного продукта. Такое тестирование требуется для любого ПО, в задачи которого будет входить сбор, хранение или передача пользовательской информации, конфиденциальных корпоративных сведений и так далее.
Какие задачи решает тестирование безопасности?
Тестирование безопасности компанией A1QA призвано решить сразу несколько задач, среди которых:
- Сведение к минимуму риска утраты, искажения или кражи данных.
- Предотвращение несанкционированного доступа к системе.
- Повышение устойчивости системы к Dos-атакам.
Вообще тестирование на проникновение не слишком справедливо приравнивать к анализу безопасности, скорее, оно является одной из его частей. Помимо тестирования на проникновение, в него также входят комплексная оценка защищенности программы, изучение выявленных уязвимостей, статический анализ кода и оценка готовности к сертификации.
Методы тестирования безопасности
Разумеется, нельзя одинаково подходить к тестированию безопасности небольшого мобильного приложения и крупной, многокомпонентной корпоративной системы, хранящей и обрабатывающей огромный объем важной информации. Поэтому в каждом конкретном случае специалисты выбирают методику тестирования на проникновение с учетом специфики программного продукта, оценивая возможные угрозы и наиболее распространенные проблемы с программами такого рода.
Чтобы проверить защищенность приложения или сервиса, требуется использовать метод черного, серого или белого ящика. Каждый из них подразумевает, что специалист будет осуществлять действия, который бы осуществлял злоумышленник при желании попасть в систему и получить над ней контроль.
Метод черного ящика — это эмуляция действий «взломщика» системы, не знакомого с ее особенностями и архитектурой. В ходе такого тестирования выявляются пути, которыми злоумышленник может попасть в систему.
Метод серого ящика направлен на выявление «узких» мест в процессе авторизации пользователя в системе и подразумевает, что некоторые данные о ней у нарушителя имеются.
Метод белого ящика подразумевает, что тестирование на проникновение осуществляется человеком, хорошо знакомым со спецификой приложения и его кодом. В ходе такого тестирования специалисты проводят ручной и автоматизированный анализ кода.
Добавить комментарий