Veebirakenduse läbitungimise testimise protsess viiakse läbi veebirakenduse olemasolevate haavatavuste tuvastamiseks ja nendest teavitamiseks. Sisestuse valideerimist saab teostada rakenduse olemasolevate probleemide, sealhulgas koodi täitmise, SQL-i süstimise ja CSRF-i, analüüsimise ja nendest teatamise teel.
Bu parim QA ettevõteon üks tõhusamaid viise tõsise protsessiga veebirakenduste testimiseks ja kaitsmiseks. See hõlmab mitut erinevat tüüpi haavatavuste testimist.
Veebirakenduste läbitungimise testimine on iga digitaalse projekti oluline element, et tagada töö kvaliteedi säilimine.
Andmete kogumine
Selles etapis kogute teavet oma eesmärkide kohta, kasutades avalikult kättesaadavaid allikaid. Nende hulka kuuluvad veebisaidid, andmebaasid ja rakendused, mis sõltuvad teie testitavatest portidest ja teenustest. Pärast kõigi nende andmete kogumist on teil täielik loend oma sihtmärkidest, sealhulgas kõigi meie töötajate nimed ja füüsilised asukohad.
Olulised punktid, mida arvestada
Kasutage tööriista, mida tuntakse kui GNU Wget; Selle tööriista eesmärk on taastada ja tõlgendada faile robot.txt.
Tarkvara tuleb kontrollida, kas see on uusim versioon. See probleem võib mõjutada mitmesuguseid tehnilisi komponente, näiteks andmebaasi üksikasju.
Muud tehnikad hõlmavad tsooniülekandeid ja pöörd-DNS-päringuid. DNS-päringute lahendamiseks ja leidmiseks saate kasutada ka veebipõhiseid otsinguid.
Selle protsessi eesmärk on tuvastada rakenduse sisenemispunkt. Seda saab teha erinevate tööriistade abil, nagu WebscarabTemper Data, OWSAP ZAP ja Burp Proxy.
Kasutage tööriistu, nagu Nessus ja NMAP, erinevate ülesannete täitmiseks, sealhulgas haavatavuste otsimiseks ja kataloogide skannimiseks.
Kasutades traditsioonilist sõrmejäljetööriista, nagu Amap, Nmap või TCP/ICMP, saate täita erinevaid rakenduse autentimisega seotud ülesandeid. Nende hulka kuulub rakenduse brauseri poolt tuvastatud laienduste ja kataloogide kontrollimine.
Autoriseerimiskatse
Selle protsessi eesmärk on testida rollide ja privileegidega manipuleerimist, et pääseda juurde veebirakenduse ressurssidele. Sisselogimise valideerimise funktsioonide analüüsimine veebirakenduses võimaldab teostada tee üleminekuid.
Näiteks veebiämblik Kontrollige, kas küpsised ja parameetrid on nende tööriistades õigesti seadistatud. Samuti kontrollige, kas volitamata juurdepääs reserveeritud ressurssidele on lubatud.
Autentimise test
Kui rakendus logib teatud aja möödudes välja, on võimalik seanssi uuesti kasutada. Samuti on rakendusel võimalik kasutaja automaatselt jõudeolekust eemaldada.
Parooli lähtestamiseks saab sisselogimislehe koodi murdmise teel kasutada sotsiaalse insenertehnilisi võtteid. Kui mehhanism "mäleta mu parool" on rakendatud, võimaldab see meetod teil oma parooli hõlpsalt meeles pidada.
Kui riistvaraseadmed on ühendatud välise sidekanaliga, saavad nad autentimisinfrastruktuuriga iseseisvalt suhelda. Samuti kontrollige, kas esitatud turvaküsimused ja vastused on õiged.
Edukas SQL-i süstiminevõib põhjustada klientide usalduse kaotuse. See võib kaasa tuua ka tundlike andmete, näiteks krediitkaarditeabe, varguse. Selle vältimiseks tuleks veebirakenduse tulemüür asetada turvalisse võrku.
Valideerimisandmete test
JavaScripti koodi analüüs viiakse läbi erinevate testide abil, et tuvastada lähtekoodi vigu. Nende hulka kuuluvad pime SQL-i süstimise testimine ja Union Query testimine. Nende testide tegemiseks saate kasutada ka selliseid tööriistu nagu sqldumper, power injector ja sqlninja.
Kasutage salvestatud XSS-i analüüsimiseks ja testimiseks selliseid tööriistu nagu Backframe, ZAP ja XSS Helper. Samuti testige erinevate meetodite abil tundlikku teavet.
Hallake taustapõhise meiliserverit, kasutades sisseehitamise tehnikat. Testige XPathi ja SMTP süstimistehnikaid, et pääseda juurde serverisse salvestatud konfidentsiaalsele teabele. Samuti tehke koodi manustamise testimine, et tuvastada sisendi valideerimisel esinevad vead.
Testige rakenduste juhtimise voo ja virna mäluteabe erinevaid aspekte puhvri ületäitumise abil. Näiteks küpsiste jagamine ja veebiliikluse kaaperdamine.
Halduskonfiguratsiooni test
Vaadake oma rakenduse ja serveri dokumentatsiooni. Veenduge ka, et infrastruktuur ja administraatoriliidesed töötavad korralikult. Veenduge, et dokumentatsiooni vanemad versioonid on endiselt olemas ja need peaksid sisaldama teie tarkvara lähtekoode, paroole ja installiteid.
Netcati ja Telneti kasutamine HTTP Kontrollige meetodite rakendamise võimalusi. Samuti testige nende meetodite kasutamiseks volitatud kasutajate mandaate. Lähtekoodi ja logifailide ülevaatamiseks tehke konfiguratsioonihalduse test.
lahendus
Eeldatakse, et tehisintellekt (AI) mängib üliolulist rolli läbitungimise testimise tõhususe ja täpsuse parandamisel, võimaldades pliiatsi testijatel teha tõhusamaid hinnanguid. Siiski on oluline meeles pidada, et teadlike otsuste tegemiseks peavad nad siiski tuginema oma teadmistele ja kogemustele.
Ole esimene, kes kommenteerib