Тестирование безопасности сайта

Тестирование безопасности

Неотъемлемой частью комплексного тестирования является тестирование защищенности веб-приложений или сайта. Данное испытание направлено на диагностику путей взлома системы, оценку защищенности веб-приложений или сайта, а также анализ рисков, связанных с подходом к защите от злоумышленников, доступа к конфиденциальным данным. Базируясь на принципах конфиденциальности, доступности и целостности, тестирование безопасности способствует обеспечению сохранности данных, учетных записей, доступов и подключений пользователей.

Оценивая потенциальную уязвимость компонентов системы при тестировании безопасности, команда QA инженеров проверит фактическую реакцию защитных механизмов продукта и предложит комплекс мер по повышению уровня защищенности веб-приложений от несанкционированных действий. Обязательно будут проверены и применены все базовые требования по безопасности веб-приложений, в результате чего будет зафиксирован перечень замечаний и дефектов с градацией по критичности уязвимостей.

Как правило, проверке подлежит следующее:

• Контроль доступа – определяет проблемы, связанные с несанкционированным доступом пользователей к информации и функциям в зависимости от предоставленной роли. Тестирование конфигурации ролевой модели.
• Аутентификация – позволяет удостовериться в отсутствии возможности обойти процедуру регистрации и авторизации; убедиться в корректности управления пользовательскими данными, исключить возможность получения информации о зарегистрированных пользователях и их учетных данных.
• Валидация входных значений – используется для проверки алгоритмов обработки данных, включая некорректные значения, прежде, чем на них будет ссылаться приложение.
• Криптография – обнаруживает проблемы, связанные с шифрованием, дешифрованием, подписью, верификацией подлинности, в том числе включая уровень сетевых протоколов, работу с временным файлами и cookies.
• Механизмы обработки ошибок – включает проверку системных ошибок приложения на отсутствие факта раскрытия информации о внутренних механизмах безопасности (например, посредством демонстрации исключений, программного кода).
• Конфигурация сервера – ищет в многопоточных процессах ошибки, связанные с доступностью значений переменных для совместного использования другими приложениями и запросами.
• Интеграция со сторонними сервисами – позволяет убедиться в невозможности манипуляции данными, передаваемыми между приложением и сторонними компонентами, например, платежными системами или соцсетями.
• Проверка устойчивости к Dos/DDos атакам – проверяет способность приложения обрабатывать незапланированно высокие нагрузки и большие объемы данных, которые могут быть направлены на выведение приложения из строя.

Тестирование защищенности веб-приложений - компетенция Webmart QA

Тестирование защищенности веб-приложений требует от исполнителя высокого знания программирования и ОС, именно поэтому наша компания перманентно повышает квалификацию собственных специалистов. С развитием технологий и инструментов, появлением новых версий ОС происходит расширение чек-листов по безопасности, регулярно появляются статьи, описывающие актуальные угрозы безопасности и способы их исправления. Расширение экспертизы команды производится в формате презентаций, лекций, тренингов, воркшопов. Для этих целей созданы и постоянно развиваются экспертные команды по различным направлениям тестирования, среди которых и команда по тестированию защищенности веб-приложений (security testing).

Степень безопасности вашей системы будет оценена в соответствии с международным стандартом подтверждения безопасности приложений OWASP. Мы также проведем рекомендательную работу по устранению уязвимостей и рисков, опционально можем разработать регламент работы с продуктом для операторов и разработчиков – так вы защитите собственный бизнес и пользователей ресурса.