Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Полянский СВ тестирование без

    Загружено:

    mpisarenko
    13 просмотров12 страниц

    Оригинальное название

    Полянский_СВ_тестирование_без

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    PPTX, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PPTX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    13 просмотров12 страниц

    Полянский СВ тестирование без

    Загружено:

    mpisarenko

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PPTX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 12

    ПОНЯТИЕ И ПРИНЦИПЫ

    ТЕСТИРОВАНИЯ
    БЕЗОПАСНОСТИ. ВИДЫ
    УЯЗВИМОСТЕЙ

    Полянский С.В.
    гр. 8им5а
    • Тестирование безопасности - это стратегия
    тестирования, используемая для проверки
    безопасности системы, а также для анализа рисков,
    связанных с обеспечением целостного подхода к
    защите приложения, атак хакеров, вирусов,
    несанкционированного доступа к конфиденциальным
    данным.
    Принципы безопасности программного
    обеспечения

    1. Конфиденциальность
    сокрытие определенных ресурсов или
    информации
    2. Целостность
    • Доверие
    • Повреждение и восстановление
    3. Доступность
    ресурсы должны быть доступны
    авторизованному пользователю, внутреннему
    объекту или устройству
    Основные задачи
    • Анализ архитектуры и построение модели угроз и
    рисков
    • Определение критериев защищенности
    • Поиск уязвимостей в исходном коде
    • Fuzz тестирование
    • Тестирование на проникновение
    • Тестирование, основанное на рисках
    • Проведение нагрузочного тестирования
    Стандарты/Методологии
    • OSSTMM (Open Source Security Testing Methodology
    Manual)
    • ISSAF (Information Systems Security Assessment
    Fraemwork)
    • NIST Guideline
    • OWASP (Open Web Application Security Project) Guide
    Виды уязвимостей
    • XSS (Cross-Site Scripting)
    • XSRF / CSRF (Request Forgery)
    • Code injections (SQL, PHP и т.д.)
    • Server-Side Includes (SSI) Injection
    • Authorization Bypass
    Межсайтовый скриптинг (XSS)
    вид уязвимости программного обеспечения (Web
    приложений), при которой, на генерированной
    сервером странице, выполняются вредоносные
    скрипты, с целью атаки клиента.
    XSRF / CSRF (Request Forgery)
    Вид атак на посетителей веб-сайтов, использующий
    недостатки протокола HTTP. Если жертва заходит на
    сайт, созданный злоумышленником, от её лица тайно
    отправляется запрос на другой сервер,
    осуществляющий некую вредоносную операцию.
    Code injections
    процесс инъекции своего кода в память чужого
    приложения с дальнейшим его выполнением.
    Server-Side Includes (SSI) Injection
    вид уязвимости, использующий вставку серверных
    команд в HTML код или запуск их напрямую с сервера.
    Authorization Bypass
    вид уязвимости, при котором возможно получить
    несанкционированный доступ к учетной записи или
    документам другого пользователя
    Спасибо за внимание

    Вам также может понравиться