На первый взгляд может показаться, что тестирование безопасности веб-приложений — это веселые всплывающие окошки с надписью ‘XSS’, разноцветная раскраска шрифтов, выпадающие тут и там stack trace или чудесным образом срабатывающие SQL-запросы при записи их в обычных полях ввода и добавлении в параметры URL.
Все это кажется игрой, но многие из таких прорех в безопасности веб-приложения могут привести к серьезным последствиям: взлому, получению доступа на уровне администратора системы, несанкционированному доступу, утечке данных, финансовым потерям и ущербу репутации.
Веб-приложение — это сложная система, состоящая из многих компонентов, и угол атаки на нее может быть разным: прослушивание/изменение незащищенных каналов трафика, взлом серверных ОС, DDoS-атаки, спам, социальная инженерия, подбор паролей, рассылка фишинговых писем, использование уязвимостей в коде веб-приложения/веб-сервисов/API.
Надо четко определить приоритеты: какие из угроз безопасности наиболее реальны и критичны. Например, если веб-приложение развернуто в локальной сети и не предполагает внешний доступ, то наиболее вероятные атаки — это использование уязвимостей в коде веб-приложения и фишинг. Если же веб-приложение предоставляет доступ к банковской, финансовой, коммерческой или государственной информации с ограниченным доступом, то уровень защиты должен быть максимальным для всех компонентов.
Примерный список шагов по тестированию безопасности такой:
Для успешного тестирования безопасности веб-приложений надо обладать широким набором знаний и навыков. Вот только некоторый базовый набор:
В благословенные офисные времена, когда не было большой войны и коронавируса, люди гораздо больше общались…
Вот две истории из собственного опыта, с тех пор, когда только начинал делать свою карьеру…
«Ты же программист». За свою жизнь я много раз слышал эту фразу. От всех. Кто…
Отличные новости! Если вы пропустили, GitHub Copilot — это уже не отдельный продукт, а набор…
Несколько месяцев назад мы с командой Promodo (агентство инвестировало в продукт более $100 000) запустили…
Пару дней назад прочитал сообщение о том, что хорошие курсы могут стать альтернативой классическому образованию.…