Тестирование и безопасность

Оценка уязвимости ПО к различным атакам. В ходе тестировании безопасности тестировщик играет роль взломщика и пытается реализовать следующие действия:

ü Узнать пароль с помощью сторонних программ.

ü Атаки с помощью специальных утилит

ü Подавления ошеломления системы

ü Целенаправленное введение ошибок в ходе ее восстановления

ü Просмотр не секретных данных в надежде найти ключ для входа в систему.

Принципы безопасности ПО:

ü Конфиденциальность – это сокрытие определенных ресурсов или информации (ограничения доступа к ресурсу некоторой категории пользователей, а также выявления условий при которых пользователь может получить доступ к ресурсу)

ü Целостность – этот принцип включает в себя 2 критерия:

o Доверие – означает что ресурс будет изменен только соответствующим способом, определенной группой пользователей.

o Повреждение и восстановление. В случаях, когда данные повреждаются или неверно изменяются пользователями должны быть определена процедура восстановления этих данных.

ü Доступность – т.е. ресурсы должны быть авторизованному пользователю, внутреннему объекту вышей системе или какому-та периферийному устройству, чем более критичнее ресурс, тем выше уровень доступности должен быть.

Виды уязвимостей:

· XSS – cross site scripting, это вид уязвимости веб-приложений, при котором на сгенерированной сервером странице выполняются вредоносные скрипты, с целью атаки вашего клиента.

· Request Forgery (XSRF/CSRF) – это вид уязвимости, позволяющий использовать недостатки HTTP-протокола по следующей схеме. Устанавливается ссылка на вредоносный сайт на странице, которая пользуется доверием у пользователя и при переходе по этой ссылке выполняется сохранение личных данных пользователя. Либо изменяется доступ к учетной записи пользователя, либо отправляется спам от имени пользователя.

Не нашли, что искали? Воспользуйтесь поиском: