Что пишут в блогах

Подписаться

Онлайн-тренинги

Конференции

Что пишут в блогах (EN)

Разделы портала

Про инструменты

Лучшие вакансии

.
Защищенность и надёжность
Статьи о тестировании и обеспечении защищённости и надёжности программ


Что такое SQL injection и как найти ее с помощью программы SQLmap
01.11.2018 00:00

Автор: Святослав Логин

Оригинальная публикация

SQL injection — это уязвимость, в которой злоумышленник создает или изменяет текущие SQL-запросы для отображения скрытых данных, их изменения или даже выполнения опасных команд операционной системы на стороне сервера базы данных. Атака выполняется на базе приложения, строящего SQL-запросы из пользовательского ввода и статических параметров.

SQLmap — это инструмент с открытым исходным кодом для тестирования на проникновение, который автоматизирует процесс выявления и эксплуатирования уязвимостей SQL-инъекций и захват серверов баз данных.

Подробнее...
 
Но я же не тестирую безопасность! Тестирование безопасности Web-сервисов для чайников – часть 2
27.07.2018 10:43

Автор: Кейт Паулк

Оригинал статьи: http://dojo.ministryoftesting.com/lessons/but-i-m-not-a-security-tester-security-testing-on-the-web-for-the-rest-of-us

Перевод: Ольга Алифанова

Ваша первая сессия с Fiddler

Для начала минимизируйте все, что может затруднить вам просмотр. Закройте все, что стучится в сеть, кроме одной вкладки одного браузера. Я выбираю IE из-за приятного плагина, а затем запускаю Fiddler.

Подробнее...
 
Но я же не тестирую безопасность! Тестирование безопасности Web-сервисов для чайников – часть 1
24.07.2018 10:16

Автор: Кейт Паулк

Оригинал статьи: http://dojo.ministryoftesting.com/lessons/but-i-m-not-a-security-tester-security-testing-on-the-web-for-the-rest-of-us

Перевод: Ольга Алифанова

Как все начиналось

Еще не так давно тестирование безопасности (и его не менее пугающий брат, тестирование проникновения) было огромной страшной букой, которую укрощали те, кто в ней разбирался. Им за это очень и очень хорошо платили. Затем жизнь изменилась, и я внезапно обнаружила себя натыкающейся на штуки, которые дорого бы стоили моему работодателю, если бы я их не поймала.

Внезапно я стала больше узнавать о началах тестирования безопасности – никогда не думала, что мне понадобятся такие знания – и это было изматывающе, потрясающе и ужасающе (примерно поровну).

Вот как я себя чувствовала:

Подробнее...
 
Видеозапись доклада Олега Половинкина с онлайн-конференции для тестировщиков КоТэ
20.06.2018 16:53

Публикуем запись доклада Олега Половинкина "Тестирование утечек памяти с помощью Selenium"

Все приложения можно условно разделить на «спринтеров» и «марафонцев». Спринтеров запускают редко и ненадолго — например, интернет-банк для проведения разовых операций. Марафонцы же включены у своих пользователей постоянно: текстовые редакторы, бухгалтерские программы, системы документооборота и т.д.

Если ваш продукт — марафонец, то вам просто необходимо тестирование надёжности (aka reliability testing). В рамках такого тестирования мы проверяем, как продукт ведёт себя при длительном использовании, не наблюдается ли утечек памяти, не растут ли используемые ресурсы, не возникают ли непредвиденные ошибки.

В своём докладе Олег расскажет, как проводить автоматизированное тестирование надёжности веб-приложений при помощи Selenium Web Driver.

По итогам этого доклада вы узнаете:
  • Какие критичные ошибки «марафонцев» можно пропустить, не уделяя достаточно внимания тестированию надёжности
  • Что такое утечки памяти, и почему растёт память браузера при длительном использовании продукта
  • Почему автоматизация тестирования — наиболее оправданное решение для тестирования надёжности
  • С чего начать автоматизацию reliability тестов, и как это лучше всего сделать.

Доклад будет полезен всем, кто занят тестированием регулярно и подолгу используемых программных продуктов.

Обсудить в форуме

 
Тестирование безопасности: изнутри и снаружи
06.06.2018 14:16

Автор: Александр Желтяков

Оригинальная публикация: http://quality-lab.ru/security_testing_inside_and_out/

ИНТРО

Добрый день, товарищи!

Сегодня мы поговорим о тестировании безопасности веб-приложений. Сам я инженер по тестированию, по образованию – специалист по информационной безопасности, а по жизни – параноик.

В то время, когда я учился в университете, было не принято преподавать какие-то реальные вещи (читай – потребности отрасли), касающиеся защиты и компрометации информационных систем. Конечно, это можно было бы списать на бюрократию и сложности внедрения новых методик, но я думаю, что там, как и везде, просто больше любят бумажки – оттуда и безопасность у нас — «бумажная». В работе же необходимы практические навыки и знания.

1. СНАРУЖИ

Ни для кого не секрет, что количество сетевых атак неуклонно растет. Каждый день их совершается около 1000, подсчитать же их число за год практически невозможно (это наглядно видно из статьи Стива Моргана). Атакам подвергаются самые разные сетевые ресурсы – от сайта местного провайдера до федерального размера (агентурной) торговой сети суши и атомных станций. Можно даже посмотреть на интерактивную карту кибератак в режиме онлайн.

И каждый уязвим. И каждый отдает себе отчет об этом риске. И каждый думает, что это не про него. Что уж там душой кривить – мы так привыкли. Нежелание признавать риски приводит к нежелательным последствиям.

Давайте рассмотрим безопасность подробнее, ведь «в действительности все не так, как на самом деле» (с).

Подробнее...
 
Что такое тестирование на проникновение?
25.05.2018 11:32

Автор: Евгений Архаров, тестировщик-автоматизатор компании "Лаборатория качества"

Оригинальная публикация: http://quality-lab.ru/what_is_penetration_testing/

Тестирование на проникновение является одной из методик выявления областей системы, уязвимых для вторжения и компрометации целостности и достоверности со стороны неавторизованных и злонамеренных пользователей или сущностей. Процесс тестирования проникновения включает в себя умышленные санкционированные атаки на систему, способные выявить как ее наиболее слабые области, так и пробелы в защите от сторонних проникновений, и тем самым улучшить атрибуты безопасности.

Данная методика также может быть использована в качестве дополнения к другим методам проверки для оценки эффективности комплекса защиты системы от различных типов неожиданных вредоносных атак.

Подробнее...
 
Security Testing vs Penetration Test — кто кого?
22.11.2017 00:00

Автор: Алексей Барановский, руководитель Киевской Кибер Академии, эксперт в сфере кибербезопасности.

Оригинальная публикация: https://dou.ua/lenta/columns/security-testing-vs-penetration-test/

Есть ли разница между «security testing» и «penetration test»? С вопросом, ответ на который, как мне казалось, лежит на поверхности, я столкнулся на конференции для специалистов по тестированию Testing Stage в начале июня. И хотя выступал я с другой темой, именно этот момент вызвал интерес и резонанс публики. Для большей части моих коллег термины «security testing» и «penetration test» равнозначны. Так ли это на самом деле? Давайте разбираться!

В общем понимании «тестирование на проникновение» представляет собой продукт или услугу по санкционированной попытке обхода средств защиты информационной системы. Результатом теста является отчет, который может/должен содержать список обнаруженных уязвимостей, использованных векторов атаки, достигнутых результатов, рекомендаций по исправлению. Обращаю ваше внимание именно на термин «информационная система» в связи с тем, что это понятие включает в себя не только программное или аппаратное обеспечение, а также данные, персонал, организационные мероприятия, документацию и иные процессы. Т. е. результаты «пентеста» информационной системы зависят не только от качества и условий настройки и эксплуатации реализации программного обеспечения, а также от аналогичных метрик аппаратного обеспечения, корректности действий персонала, налаженности и согласованности операционных процессов и т. д. В то же время «security testing» — это итеративный процесс тестирования безопасности функционирования инфраструктуры в целом, который учитывает все этапы и контроли, и в этом случае «penetration test» — обязательный элемент общей модели «security testing».

Подробнее...
 
Burp Suite: швейцарский армейский нож для тестирования веб-приложений
21.07.2017 17:10

Оригинальная публикацияhttps://habrahabr.ru/company/pentestit/blog/328382/

Burp Suite – это платформа для проведения аудита безопасности веб-приложений. Содержит инструменты для составления карты веб-приложения, поиска файлов и папок, модификации запросов, фаззинга, подбора паролей и многое другое. Также существует магазин дополнений BApp store, содержащий дополнительные расширения, увеличивающие функционал приложения. Стоит отметить и появление в последнем релизе мобильного помощника для исследования безопасности мобильных приложений — MobileAssistant для платформы iOS.

Burp Suite — это интегрированная платформа, предназначенная для проведения аудита веб-приложения, как в ручном, так и в автоматических режимах. Содержит интуитивно понятный интерфейс со специально спроектированными табами, позволяющими улучшить и ускорить процесс атаки. Сам инструмент представляет из себя проксирующий механизм, перехватывающий и обрабатывающий все поступающие от браузера запросы. Имеется возможность установки сертификата burp для анализа https соединений. 

Если посмотреть статистику и репорты bug-bounty программ — практически везде на скриншотах можно встретить использование этого инструмента. На ряду с OWASP ZAP это самый популярный набор утилит для тестирования веб-приложений.

Подробнее...
 
Почему безопасность продукта – это такая сложная штука
22.03.2017 12:15

Автор: Коллин Грин (Collin Greene)

Оригинал статьи: https://medium.com/@collingreene/why-product-security-is-hard-52e3f73178#.l1376jjjv

Перевод: Ольга Алифанова

Если недостатки ПО могут стоить миллионы долларов, очень полезно исследовать вопрос, почему так тяжело создать безопасное ПО.

Работа над безопасностью вся целиком связана с трудностями, и цель статьи – собрать наиболее специфические для приложений сложности, чтобы в последующих статьях предложить их решения. Она не направлена на защиту безопасников -мол, без ошибок сделать ПО никак нельзя.

Создание ПО – тяжелая работа

Безопасность ПО – это очень трудно, но даже правильное создание программного продукта – непростая задача. Поиск багов безопасности – это подкатегория поиска багов в ПО.

Программное обеспечение кардиостимулятора, спутника или линкора должно, возможно, быть идеальным в плане безопасности, но для большинства приложений самыми важными будут время до релиза, количество фич и другие подобные цели.

Мы знаем, что создать идеальное ПО возможно, но это очень трудно, и зачастую не в приоритете. Nasa и марсоход "Curiosity" – это пример оптимизированного соотношения качества к нулевому количеству багов, потому что стоимость бага в ПО крайне высока.

Подробнее...
 
Об основах тестирования безопасности
11.09.2014 16:01

Доклад Татьяны Зинченко с онлайн-встречи, приуроченной к Дню тестировщика 2014.

Каникулы закончились и многие великие хакеры пошли в школу. Значит ли это, что наше приложение может вздохнуть спокойно? Конечно, нет, ведь на очереди — осенние каникулы :)

Есть хорошее выражение: «Любое приложение может быть взломано. Любая атака может быть отражена». О чем это? Мы можем отразить любую атаку. Но если взломщик потратит больше времени и использует больше инструментов — он сможет взломать любое приложение.

Да, мы не можем избежать всего. Но мы можем обезопасить себя от «великих хакеров», сделав так, чтобы затрачиваемое ими время и количество используемых приложений возросло настолько, что уже не стоило полученного результата.


В ходе доклада мы научимся проводить элементарные проверки безопасности. И изучим способы, которыми от них можно защититься. Согласитесь, когда вас взломают Анонимусы, - это намного приятнее, чем когда каждый третьеклассник :)

Подробнее...
 



Страница 1 из 3