Согласно отчетам независимых компаний по тестированию, предоставляющих разные различные услуги тестирования (включая тестирования проникновения), более четверти уязвимостей приходятся на проблемы безопасности веб-приложений. В отличие от операционных систем, которые используются в корпоративных сетях, веб-приложения создаются внутри компании и не проходят такого тщательного контроля, как распространенные продукты.
Для определения максимального количества дефектов и проведения превентивных мероприятий, тестировщики выполняют тестирование проникновения, глубокий анализ всех аспектов, связанных с работой приложения. Тестирование проникновения предоставляет полный анализ и оценку безопасности приложения. Тестировщики анализируют все компоненты веб-приложения: дизайн, сеть, конфигурацию операционной системы, внешние источники данных, информационные хранилища, механизмы авторизации и аутентификации, серверные и клиентские компоненты.
Последовательность действий такова:
- Определение метода дальнейшего анализа веб-приложения.
- Выбор уязвимостей для определения действий, которые могут быть предприняты хакером.
- Выполнение скоординированных атак, которые были согласованы с заказчиком.
В отчете должны содержаться следующие пункты:
- Общая оценка безопасности веб-приложения.
- Процедура тестирования.
- Информация о найденных уязвимостях.
- Результаты эксплуатации нескольких критических уязвимостей.
- Рекомендации по их устранению.
- Составление аналитического отчета и рекомендаций по устранению уязвимостей.
Оставить комментарий