Was ist Sicherheitstest? Typen mit Beispiel

Inhaltsverzeichnis:

Anonim

Was ist Sicherheitstest?

SICHERHEITSTEST ist eine Art von Softwaretest, der Schwachstellen, Bedrohungen und Risiken in einer Softwareanwendung aufdeckt und böswillige Angriffe von Eindringlingen verhindert. Der Zweck von Sicherheitstests besteht darin, alle möglichen Lücken und Schwächen des Softwaresystems zu identifizieren, die zu einem Verlust von Informationen, Einnahmen und Ansehen durch die Mitarbeiter oder Außenstehenden der Organisation führen können.

Warum sind Sicherheitstests wichtig?

Das Hauptziel von Sicherheitstests besteht darin, die Bedrohungen im System zu identifizieren und ihre potenziellen Schwachstellen zu messen, damit die Bedrohungen auftreten und das System nicht nicht mehr funktioniert oder nicht ausgenutzt werden kann. Es hilft auch beim Erkennen aller möglichen Sicherheitsrisiken im System und hilft Entwicklern, die Probleme durch Codierung zu beheben.

In diesem Tutorial lernen Sie:

  • Was ist Sicherheitstest?
  • Arten von Sicherheitstests
  • So führen Sie Sicherheitstests durch
  • Beispiel-Testszenarien für Sicherheitstests
  • Methoden / Ansatz / Techniken für Sicherheitstests
  • Sicherheitstestrollen
  • Sicherheitstest-Tool
  • Mythen und Fakten von Sicherheitstests

Arten von Sicherheitstests:

Es gibt sieben Haupttypen von Sicherheitstests gemäß dem Handbuch zur Open Source-Sicherheitstestmethode. Sie werden wie folgt erklärt:

  • Schwachstellenüberprüfung : Dies erfolgt über eine automatisierte Software, um ein System auf bekannte Schwachstellensignaturen zu scannen.
  • Sicherheitsüberprüfung: Dabei werden Netzwerk- und Systemschwachstellen identifiziert und später Lösungen zur Reduzierung dieser Risiken bereitgestellt. Dieses Scannen kann sowohl für manuelles als auch für automatisiertes Scannen durchgeführt werden.
  • Penetrationstests : Diese Art von Tests simuliert einen Angriff eines böswilligen Hackers. Diese Tests umfassen die Analyse eines bestimmten Systems, um mögliche Schwachstellen für einen externen Hacking-Versuch festzustellen.
  • Risikobewertung: Diese Prüfung umfasst die Analyse der in der Organisation beobachteten Sicherheitsrisiken. Risiken werden in niedrig, mittel und hoch eingeteilt. Diese Prüfung empfiehlt Kontrollen und Maßnahmen zur Risikominderung.
  • Sicherheitsüberwachung: Dies ist eine interne Überprüfung von Anwendungen und Betriebssystemen auf Sicherheitslücken. Ein Audit kann auch durch zeilenweise Überprüfung des Codes durchgeführt werden
  • Ethisches Hacken: Es hackt ein Organisationssoftwaresystem. Im Gegensatz zu böswilligen Hackern, die für ihre eigenen Gewinne stehlen, besteht die Absicht darin, Sicherheitslücken im System aufzudecken.
  • Haltungsbewertung: Hierbei werden Sicherheitsüberprüfungen, ethisches Hacken und Risikobewertungen kombiniert, um eine allgemeine Sicherheitslage einer Organisation anzuzeigen.

So führen Sie Sicherheitstests durch

Es besteht immer Einigkeit darüber, dass die Kosten höher sind, wenn wir die Sicherheitstests nach der Softwareimplementierungsphase oder nach der Bereitstellung verschieben. Daher ist es in früheren Phasen erforderlich, Sicherheitstests in den SDLC-Lebenszyklus einzubeziehen.

Schauen wir uns die entsprechenden Sicherheitsprozesse an, die für jede Phase in SDLC übernommen werden sollen

SDLC-Phasen Sicherheitsprozesse
Bedarf Sicherheitsanalyse für Anforderungen und Überprüfung von Missbrauchs- / Missbrauchsfällen
Design Sicherheitsrisikoanalyse für das Design. Entwicklung eines Testplans einschließlich Sicherheitstests
Codierung und Unit-Test Statische und dynamische Tests und Sicherheits-White-Box-Tests
Integrationstests Black-Box-Test
Systemtests Black-Box-Test und Scannen von Sicherheitslücken
Implementierung Penetrationstests, Scannen von Sicherheitslücken
Unterstützung Wirkungsanalyse von Patches

Der Testplan sollte enthalten

  • Sicherheitsbezogene Testfälle oder Szenarien
  • Testdaten im Zusammenhang mit Sicherheitstests
  • Für Sicherheitstests erforderliche Testtools
  • Analyse verschiedener Testergebnisse von verschiedenen Sicherheitstools

Beispieltestszenarien für Sicherheitstests:

Beispieltestszenarien, um Ihnen einen Einblick in Sicherheitstestfälle zu geben -

  • Ein Passwort sollte verschlüsselt sein
  • Anwendung oder System sollten keine ungültigen Benutzer zulassen
  • Überprüfen Sie die Cookies und die Sitzungszeit für die Anwendung
  • Bei Finanzseiten sollte die Schaltfläche "Zurück" des Browsers nicht funktionieren.

Methoden / Ansatz / Techniken für Sicherheitstests

Bei Sicherheitstests werden verschiedene Methoden angewendet, und zwar wie folgt:

  • Tiger Box : Dieses Hacken wird normalerweise auf einem Laptop durchgeführt, der eine Sammlung von Betriebssystemen und Hacking-Tools enthält. Diese Tests helfen Penetrationstestern und Sicherheitstestern bei der Durchführung von Schwachstellenbewertungen und Angriffen.
  • Black Box : Tester ist berechtigt, Tests zur Netzwerktopologie und -technologie durchzuführen.
  • Gray Box : Dem Tester werden teilweise Informationen über das System gegeben, und es handelt sich um eine Mischung aus White- und Black-Box-Modellen.

Sicherheitstestrollen

  • Hacker - Zugriff auf Computersystem oder Netzwerk ohne Autorisierung
  • Cracker - Brechen Sie in die Systeme ein, um Daten zu stehlen oder zu zerstören
  • Ethischer Hacker - Führt die meisten Breaking-Aktivitäten aus, jedoch mit Genehmigung des Eigentümers
  • Script Kiddies oder Packet Monkeys - Unerfahrene Hacker mit Programmiersprachenkenntnissen

Sicherheitstest-Tool

1) Eindringling

Intruder ist ein Schwachstellenscanner für Unternehmen, der einfach zu verwenden ist. Es führt über 10.000 hochwertige Sicherheitsüberprüfungen in Ihrer IT-Infrastruktur durch, darunter unter anderem: Konfigurationsschwächen, Anwendungsschwächen (wie SQL-Injection und Cross-Site-Scripting) und fehlende Patches. Intruder bietet intelligent priorisierte Ergebnisse sowie proaktive Scans für die neuesten Bedrohungen. Dies spart Zeit und schützt Unternehmen jeder Größe vor Hackern.

Eigenschaften:

  • AWS-, Azure- und Google Cloud-Connectors
  • Perimeterspezifische Ergebnisse zur Reduzierung Ihrer externen Angriffsfläche
  • Hochwertige Berichterstattung
  • Slack, Microsoft Teams, Jira, Zapier Integrationen
  • API-Integration in Ihre CI / CD-Pipeline

2) Owasp

Das Open Web Application Security Project (OWASP) ist eine weltweite gemeinnützige Organisation, die sich auf die Verbesserung der Sicherheit von Software konzentriert. Das Projekt verfügt über mehrere Tools zum Testen verschiedener Softwareumgebungen und -protokolle. Zu den Flaggschiff-Tools des Projekts gehören

  1. Zed Attack Proxy (ZAP - ein integriertes Penetrationstest-Tool)
  2. OWASP-Abhängigkeitsprüfung (sucht nach Projektabhängigkeiten und prüft auf bekannte Schwachstellen)
  3. OWASP Web Testing Environment Project (Sammlung von Sicherheitstools und Dokumentation)

3) WireShark

Wireshark ist ein Netzwerkanalysetool, das früher als Ethereal bekannt war. Es erfasst Pakete in Echtzeit und zeigt sie in einem für Menschen lesbaren Format an. Grundsätzlich handelt es sich um einen Netzwerkpaketanalysator, der die kleinsten Details zu Ihren Netzwerkprotokollen, Entschlüsselung, Paketinformationen usw. bereitstellt. Es handelt sich um Open Source und kann unter Linux, Windows, OS X, Solaris, NetBSD, FreeBSD und vielen anderen verwendet werden andere Systeme. Die Informationen, die über dieses Tool abgerufen werden, können über eine GUI oder das TSHark-Dienstprogramm im TTY-Modus angezeigt werden.

4) W3af

w3af ist ein Webanwendungs-Angriffs- und Überwachungsframework. Es gibt drei Arten von Plugins. Erkennung, Prüfung und Angriff, die für Schwachstellen auf der Website miteinander kommunizieren. Beispielsweise sucht ein Erkennungs-Plugin in w3af nach verschiedenen URLs, um auf Schwachstellen zu testen, und leitet sie an das Überwachungs-Plugin weiter, das diese URLs dann zur Suche nach Schwachstellen verwendet.

Mythen und Fakten von Sicherheitstests:

Lassen Sie uns über ein interessantes Thema zu Mythen und Fakten von Sicherheitstests sprechen:

Mythos Nr. 1 Wir brauchen keine Sicherheitsrichtlinie, da wir ein kleines Unternehmen haben

Fakt: Jeder und jedes Unternehmen benötigt eine Sicherheitsrichtlinie

Mythos Nr. 2 Es gibt keinen Return on Investment in Sicherheitstests

Fakt: Sicherheitstests können Verbesserungsbereiche aufzeigen, die die Effizienz verbessern und Ausfallzeiten reduzieren und einen maximalen Durchsatz ermöglichen.

Mythos Nr. 3 : Die einzige Möglichkeit zur Sicherung besteht darin, den Netzstecker zu ziehen.

Fakt: Der einzige und beste Weg, eine Organisation zu sichern, besteht darin, "perfekte Sicherheit" zu finden. Perfekte Sicherheit kann erreicht werden, indem eine Haltungsbewertung durchgeführt und mit geschäftlichen, rechtlichen und branchenbezogenen Begründungen verglichen wird.

Mythos Nr. 4 : Das Internet ist nicht sicher. Ich werde Software oder Hardware kaufen, um das System zu schützen und das Geschäft zu retten.

Fakt: Eines der größten Probleme ist der Kauf von Software und Hardware aus Sicherheitsgründen. Stattdessen sollte die Organisation zuerst die Sicherheit verstehen und sie dann anwenden.

Fazit:

Sicherheitstests sind die wichtigsten Tests für eine Anwendung und prüfen, ob vertrauliche Daten vertraulich bleiben. Bei dieser Art von Tests spielt der Tester eine Rolle des Angreifers und spielt im System herum, um sicherheitsrelevante Fehler zu finden. Sicherheitstests sind in der Softwareentwicklung sehr wichtig, um Daten auf jeden Fall zu schützen.