Tìm hiểu về Security Testing
Tại sao phải kiểm tra bảo mật? Điều gì xảy ra nếu tất cả các tài liệu mật của tổ chức bạn bị đánh cắp, hoặc điều đó xảy ra với một trong những khách hàng của bạn? Một lỗ hổng trong ứng dụng của bạn hoàn toàn có thể làm tê liệt kinh doanh của bạn và danh tiếng của mình trên thị trường. Tất ...
Tại sao phải kiểm tra bảo mật?
Điều gì xảy ra nếu tất cả các tài liệu mật của tổ chức bạn bị đánh cắp, hoặc điều đó xảy ra với một trong những khách hàng của bạn? Một lỗ hổng trong ứng dụng của bạn hoàn toàn có thể làm tê liệt kinh doanh của bạn và danh tiếng của mình trên thị trường. Tất nhiên, điều này có thể dẫn đến thảm họa khi một lỗ hổng trong ứng dụng của bạn được khai thác bởi một bên thứ ba với những hậu quả như:
- Thiệt hại to lớn đến thương hiệu của tổ chức
- Vĩnh viễn mất niềm tin của khách hàng
- Thời gian chết của phần mềm tàn phá năng suất tổ chức - năng suất của tổ chức thời gian sau khi khắc phục thiệt hại
- Chi phí khắc phục lỗ hổng tốn kém
- Các vụ kiện dân sự và hình phạt pháp lý.
Do đó, một phần mềm mà không có khả năng bảo vệ dữ liệu và không có khả năng duy trì các dữ liệu theo yêu cầu là không thê sử dụng. Security Testing là có thể coi là một trong những thử nghiệm quan trọng nhất đối với một ứng dụng.
I. Tìm hiểu chung
Security là gì?
Security là các biện pháp được thiết lập để bảo vệ một ứng dụng chống lại các hành động không lường trước được rằng các hành động đó sẽ ảnh hưởng hoặc phá hủy ứng dụng. Hành động không lường trước có thể là cố ý hoặc vô ý.
Security testing là gì?
Security Testing là việc tìm kiếm tất cả cá lỗ hổng có thể và điểm yếu của hệ thống mà có thể dẫn đến mất thông tin trong tay nhân viên hoặc người ngoài của tổ chức. Security Testing rất quan trọng trong ngành công nghiệp CNTT để bảo vệ dữ liệu của tất cả các phương tiện.
Mục đích của Security Testing?
Mục đích của Security Testing là để xác định các mối đe dọa trong hệ thống và đo lường rủi ro tiềm năng của nó. Nó cũng giúp trong việc phát hiện các nguy cơ bảo mật có thể có trong hệ thống và giúp các developer trong việc sửa chữa những vấn đề này thông qua code
Phương pháp
Dưới đây là các phương pháp khác nhau cho Security Testing:
- Tiger Box: được thực hiện trên một máy tính xách tay trong đó có một bộ sưu tập của các hệ điều hành và các công cụ hack. Thử nghiệm này giúp kiểm tra sự thâm nhập và kiểm tra bảo mật để tiến hành đánh giá các lỗ hổng và các cuộc tấn công.
- Black Box: Tester được ủy quyền để làm thử nghiệm trên tất cả mọi thứ về các cấu trúc liên kết mạng lưới và công nghệ.
- Grey Box: là sự kết hợp của mô hình black box và white box
Những khái niệm bạn nên biết trong Security!
- "Lỗ hổng" là gì?
Lỗ hổng là một điểm yếu trong các ứng dụng web. Các nguyên nhân gây ra như một "điểm yếu" có thể là lỗi trong ứng dụng, tiêm (mã SQL / script) hoặc sự hiện diện của virus.
- Hacker : là người thâm nhập vào hệ thống máy tính hoặc truy cập mạng mà không cần ủy quyền
- Cracker: là người đột nhập vào hệ thống để ăn cắp hoặc phá hủy dữ liệu
- Ethical Hacker: là người thực hiện hầu hết các hoạt động vi phạm nhưng với sự cho phép từ chủ sở hữu
- Script Kiddies – Hacker: là người ít kinh nghiệm với các kỹ năng ngôn ngữ lập trình
II. Các loại Security testing
Có bảy loại chính trong Security testing :
Types of Security Testing | Description |
---|---|
Vulnerability Scanning | Được thực hiện thông qua phần mềm tự động quét hệ thống chống lại lỗ hổng đã biết |
Security Scanning | Nó liên quan đến việc xác định mạng và hệ thống những điểm yếu, sau đó cung cấp các giải pháp để giảm thiểu những rủi ro này.Có thể được thực hiện cho cả hai chức năng quét bằng tay và tự động |
Penetration Testing | Đây là loại thử nghiệm mô phỏng một cuộc tấn công từ hacker. Kiểm tra này bao gồm việc phân tích một hệ thống đặc biệt để kiểm tra các lỗ hổng tiềm năng với một nỗ lực hacking bên ngoài. |
Risk Assessment | Kiểm tra này bao gồm việc phân tích các rủi ro an ninh quan sát trong tổ chức.Thử nghiệm này đề nghị kiểm soát và các biện pháp để giảm thiểu rủi ro |
Security Auditing | Đây là kiểm tra nội bộ của các ứng dụng và hệ thống điều hành cho lỗ hổng bảo mật.Kiểm toán cũng có thể được thực hiện thông qua đường bằng cách kiểm tra dòng mã |
Posture Assessment | Kết hợp Security Scanning và Ethical Hacking và Risk Assessment cho thấy một an ninh tổng thể của một tổ chức. |
Ethical Hacking | Nó hack một hệ thống phần mềm tổ chức, mục đích là để lộ lỗ hổng bảo mật trong hệ thống |
III. Tích hợp các quy trình bảo mật với các SDLC:
Các giai đoạn của SDLC | Quy trình bảo mật |
---|---|
Yêu cầu | Phân tích bảo mật cho các yêu cầu và kiểm tra tình trạng lạm dụng / trường hợp sử dụng sai |
Thiết kế | Phân tích rủi ro bảo mật cho thiết kế. Xây dựng kế hoạch kiểm tra bao gồm các bài kiểm tra an ninh |
Coding & Unit testing | Kiểm thử hộp trắng |
Intergration Testing | Black Box Testing |
System Testing | Black Box Testing và Vulnerability Scanning |
Thực hiện | Penetration Testing, Vulnerability Scanning |
Support | Phân tích tác động |
Các Test scenarios mẫu cho Security Testing:
Các kịch bản thử nghiệm mẫu để cung cấp một cái nhìn thoáng hơn trong Security Testing
- Mật khẩu phải ở trong định dạng mã hóa
- Ứng dụng hoặc hệ thống không nên cho phép người dùng không hợp lệ
- Kiểm tra thời gian cookie và session cho ứng dụng
- Đối với các trang web tài chính, nút Back của Browser lại không nên được hoạt động.
Tham khảo bởi nguồn: http://www.guru99.com/what-is-security-testing.html