Каким только рискам ни подвергается ваше программное обеспечение после запуска! Несанкционированные захваты конфиденциальных данных, атаки вирусов и хакеров – перечислять эти малоприятные события в нюансах и деталях можно только. И все они, увы, могут серьезно навредить вашему веб-приложению, а значит, и бизнесу. Именно поэтому тестирование безопасности очень важный процесс, которым в силу незнания многие пренебрегают. А между делом: предусмотреть опасности заранее гораздо проще, чем исправлять их последствия потом.
Так, тестирование защищенности веб-приложений – это грамотная стратегия, проверяющая безопасность вашей системы, анализирующая риски и обеспечивающая целостность подхода к защите программного обеспечения. Данная стратегия разрабатывается, отталкиваясь от принципов безопасности веб-приложений, каковыми являются доступность, целостность и конфиденциальность.
Принцип конфиденциальности призван сокрыть определенную информацию или ресурсы. Конфиденциальность может ограничивать возможности определенных категорий пользователей по отношению к тем или иным данным и ресурсам.
Принцип целостности определяется двумя основными критериями – доверием, а также повреждением и восстановлением. Речь идет о том, что полномочиями изменять что-либо в веб-приложении должна быть наделена выборочная категория пользователей (доверие). В случае с повреждением и восстановлением: когда подобные ситуации случаются по вине авторизованных или неавторизованных пользователей, вы должны понимать, насколько трудоемким будет процесс восстановления данных.
Если рассматривается тестирование безопасности в контексте принципа доступности, вы должны понимать, что подразумевается возможность допуска авторизованных пользователей к внутренним устройствам или объектам. Причем уровень доступности тем выше, чем выше критичность ресурса.
Тестирование защищенности веб-приложений сегодня в первую очередь сосредотачивается на таких уязвимостях, как XSS (Cross-Site Scripting), XSRF / CSRF (Request Forgery), Code injections (SQL, PHP, ASP и т.д.), Server-Side Includes (SSI) Injection, а также Authorization Bypass. Все это – вредоносные скрипты, атакующие пользователей, спам, кража личных данных, запуск исполняемых кодов и захват доступа к системным ресурсам и многое-многое другое – может нешуточно вам навредить. Невеселая перспектива, верно? Но не отчаивайтесь: обезопасить себя можно, попросту вовремя обратившись к нужным специалистам. Источник: http://qawebmart.ru/testirovanie-bezopasnosti.html