Иногда веб-приложения несут определенную опасность, открывая мошенникам доступ к конфиденциальным сведениям. Для контроля продукта на надежность, присутствие различных уязвимостей выполняется тестирование. Его задачи заключаются в выявлении рисков и оценке их степени, в проверке приложения на предмет соблюдения норм безопасности, корректности функционирования системы предотвращения атак, обработки возникающих ошибок.
Разновидности атак на веб-приложения
На данный момент известно множество разновидностей атак. Поэтому тестирование web-приложений https://tquality.ru/services/web_application_quality_assurance/ на степень безопасности предусматривает всесторонний анализ рисков и уязвимостей. К распространенным видам таких атак относятся:
-
межсайтовый скриптинг XSS – мошенники вводят в программу вредоносный скрипт, чтобы украсть конфиденциальные данные или сессию пользователя;
-
SQL-инъекции – мошенники вводят запросы формата SQL в форму, в URL, что открывает доступ к информации в приложении;
-
межсайтовая подделка запроса CSRF – за время нахождения пользователя на ином ресурсе, злоумышленники от его имени отправляют в приложение запросы, меняя конфиденциальные сведения или совершая недопустимые действия;
-
атака на сессию – сессионная информация пользователя перехватывается для получения доступа к данным от его имени.
Еще один формат – атака на инфраструктуру, целью которой является сервер, где запущено приложение. К этой категории относятся как попытки серверного взлома, так и атаки типа DDoS.
Методы тестирования безопасности веб-приложений
Проверка уровня безопасности приложений включает контроль на проникновение – выявление уязвимостей путем имитации действий злоумышленника. Основная задача – определить способность программы противостоять атакам. С это целью используются анализаторы трафика, специальные сканеры и прочие инструменты. При оценке качества продукта применяется не только тестирование производительности приложения https://tquality.ru/performance-testing/, но и проверка на базе кода, ручная или автоматизированная. Также используются:
-
тестирование по перечню возможных уязвимостей – контроль в соответствии со списком;
-
тестирование по сценариям угроз – моделирование вероятных атак;
-
тестирование на утечку данных – оценка безопасности процесса передачи сведений от пользователя к серверу и обратно;
-
тестирование зловредный код – с помощью VirusTotal и других инструментов проводится проверка на присутствие вредоносного кода.
В рамках тестирования на предмет недостатков авторизации и аутентификации проверяется процесс сохранения сессий и паролей, реакция приложения на попытки входа с неверным логином. Для повышения надежности применяется совокупность перечисленных методов.
