Мёртвый блог живого человека

SEO-оптимизация, манимейкинг, веб-разработка

Тестирование безопасности приложений

Тестирование безопасности – метод оценки безопасности системы, а также анализ потенциальных угроз с учетом специфики отрасли приложения. Главная цель – выявить уязвимости в механизмах безопасности, которые обеспечивают конфиденциальность данных и поддерживают необходимый функционал приложения.

Тестирование безопасности приложений позволяет идентифицировать и устранять дефекты в работе системы до того, как они могут быть подвержены взлому, атакам и вирусам. В этих целях компания-тестировщик осуществляет объективную, независимую оценку качества разрабатываемого продукта.



Для полноценного охвата уязвимостей тестируемого приложения компания-тестировщик A1QA реализует комплексный подход. Тестирование безопасности осуществляет команда квалифицированных специалистов со знанием моделей «белого ящика», «черного ящика» и «серого ящика». В процессе обеспечения безопасности тестируемого объекта применяются инструменты ручного и автоматизированного тестирования, а также статический анализ кода.

Типы уязвимостей программного обеспечения:

  • SQL-запросы. Известно, что в базах данных используется схема «запрос-ответ». При выполнении нескольких запросов, например, в форме для заполнения на любом сайте, можно заменить или вовсе удалить данные в системе.
  • XSS уязвимости. Суть атаки заключается во внедрении вредоносного кода, при этом тестирование безопасности направлено на анализ реакции защитных механизмов системы при попытке проникновения.  Риск XSS уязвимостей может быть везде, где есть возможность вносить данные пользователя, в том числе динамические сайты.
  • Пароли. Из-за привычки пользователей хранить тексты паролей прямо в системе пароли могут стать мишенью для злоумышленников.

Тестирование безопасности мобильных и веб приложений – обязательный этап проверки качества программного обеспечения, которое необходимо сертифицировать согласно международным стандартам (PCI DSS, OWASP).  Предсертификационное тестирование осуществляется в таких отраслях как платежные системы, электронные автоматизированные системы технической безопасности, т.д.

По результатам тестирования безопасности компания-тестировщик получает детальный отчет об уязвимостях и рисках, связанных с обеспечением безопасности приложения, а также подробные рекомендации по их устранению.



Оставить комментарий

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой:



Подпишись и будь вкурсе всех новых тем на блоге — узнаешь много нового!