PTER - metodyka testowania bezpieczeństwa aplikacji internetowych
Krok 2 (IIK2) - testy konfiguracji oraz podatności aplikacji.
Cel: sprawdzenie poprawności konfiguracji aplikacji WWW (np. dostęp do stron administracyjnych) oraz poszukiwanie podatności komponentów aplikacji.
Wejście: struktura aplikacji, aktualna baza podatności.
Wyjście: opis przeprowadzonych badań, ewentualna lista błędów związanych z wymienionymi czynnikami (np. błędy typu misconfiguration).
Uzasadnienie: wykazanie racjonalnie uzasadnionego poziomu zaufania w obszarach: konfiguracji aplikacji oraz braku podatności komponentów aplikacji.
Krok 3 (IIK3) - testy walidacji danych wejściowych.
Cel: znalezienie ewentualnych błędów związanych z manipulacją danymi wejściowymi, które mogą wpływać na atrybuty bezpieczeństwa aplikacji WWW.
Wejście: lista punktów wejściowych, specyficznych atrybutów
elementów, bazatzw. payloadów, exploitów.
Wyjście: wskazanie błędów dotyczących zależności pomiędzy danymi wejściowymi, a odpowiedzią aplikacji (np. błędy typu: Cross-site Scripting (XSS), Cross-site Reąuest Forgery (CSRF), Codę Injection, SQL Injection, LDAP Injection, XPath Injection oraz niepożądanych wycieków danych i niepoprawnie obsługiwanych błędów).
Uzasadnienie: wykazanie racjonalnie uzasadnionego poziomu zaufania w obszarach: walidacji danych wejściowych, braku wycieków informacji wrażliwych związanych z generowanymi błędami.
Krok 4 (IIK4) - testy logiki biznesowej.
Cel: przedstaw ienie możliwości działania na logikę biznesową testowanej aplikacji w taki sposób, aby za pomocą realizacji złośliwych czynności spowodować w rezultacie wykonania dozwolonych działań możliwość uzyskania nieuprawnionych korzyści, bądź wyrządzenia szkód. Stworzenie specyficznych scenariuszy testowych.
Wejście: struktura aplikacji, dokumentacja biznesowa, diagramy
przypadków użycia.
Wyjście: wykazanie błędów związanych z logiką biznesową (np. błędy typu incorrect logie flows), zaktualizowane diagramy o czynności „złośliwego użycia”.
Uzasadnienie: wykazanie racjonalnie uzasadnionego poziomu zaufania
53
Pr/egląd T eleinformatyczny. 1-2/2014