Apa itu Ujian Keselamatan? Jenis dengan Contoh

Apa itu Ujian Keselamatan?

UJIAN KESELAMATAN adalah sejenis Uji Perisian yang mengungkap kerentanan, ancaman, risiko dalam aplikasi perisian dan mencegah serangan jahat dari penceroboh. Tujuan Ujian Keselamatan adalah untuk mengenal pasti semua kelemahan dan kelemahan sistem perisian yang mungkin mengakibatkan kehilangan maklumat, pendapatan, reputasi di tangan pekerja atau orang luar Organisasi.

Mengapa Ujian Keselamatan Penting?

Matlamat utama Pengujian Keselamatan adalah untuk mengenal pasti ancaman dalam sistem dan mengukur potensi kerentanannya, sehingga ancaman dapat dihadapi dan sistem tidak berhenti berfungsi atau tidak dapat dieksploitasi. Ia juga membantu dalam mengesan semua risiko keselamatan yang mungkin berlaku dalam sistem dan membantu pembangun menyelesaikan masalah melalui pengekodan.

Dalam tutorial ini, anda akan belajar-

Apa itu Ujian Keselamatan?
Jenis Ujian Keselamatan
Cara melakukan Ujian Keselamatan
Contoh Senario Ujian untuk Ujian Keselamatan
Metodologi / Pendekatan / Teknik untuk Ujian Keselamatan
Peranan Ujian Keselamatan
Alat Ujian Keselamatan
Mitos dan Fakta Ujian Keselamatan

Jenis Ujian Keselamatan:

Terdapat tujuh jenis ujian keselamatan utama seperti dalam manual metodologi Pengujian Keselamatan Sumber Terbuka. Mereka dijelaskan sebagai berikut:

Pengimbasan Kerentanan : Ini dilakukan melalui perisian automatik untuk mengimbas sistem terhadap tanda-tanda kerentanan yang diketahui.
Pengimbasan Keselamatan: Ini melibatkan mengenal pasti kelemahan rangkaian dan sistem, dan kemudian memberikan penyelesaian untuk mengurangkan risiko ini. Pengimbasan ini dapat dilakukan untuk pengimbasan Manual dan Automatik.
Ujian penembusan : Ujian semacam ini mensimulasikan serangan dari penggodam jahat. Pengujian ini melibatkan analisis sistem tertentu untuk memeriksa kemungkinan kerentanan terhadap percubaan peretasan luaran.
Penilaian Risiko: Ujian ini melibatkan analisis risiko keselamatan yang diperhatikan dalam organisasi. Risiko dikelaskan sebagai Rendah, Sederhana dan Tinggi. Ujian ini mengesyorkan kawalan dan langkah-langkah untuk mengurangkan risiko.
Pengauditan Keselamatan: Ini adalah pemeriksaan dalaman Aplikasi dan sistem Operasi untuk kelemahan keselamatan. Pengauditan juga dapat dilakukan melalui pemeriksaan kod dari baris demi baris
Peretasan beretika: Meretas sistem Perisian Organisasi. Tidak seperti penggodam berniat jahat, yang mencuri keuntungan mereka sendiri, tujuannya adalah untuk mendedahkan kelemahan keselamatan dalam sistem.
Penilaian Postur: Ini menggabungkan pengimbasan Keselamatan, Peretasan Etika dan Penilaian Risiko untuk menunjukkan keseluruhan keselamatan organisasi.

Cara melakukan Ujian Keselamatan

Selalu disepakati, biaya itu akan lebih besar jika kita menangguhkan pengujian keselamatan setelah fasa pelaksanaan perisian atau setelah penyebaran. Oleh itu, perlu melibatkan ujian keselamatan dalam kitaran hidup SDLC pada fasa-fasa sebelumnya.

Mari kita perhatikan proses Keselamatan yang sesuai untuk diterapkan untuk setiap fasa di SDLC

Fasa SDLC	Proses Keselamatan
Keperluan	Analisis keselamatan untuk keperluan dan periksa kes penyalahgunaan / penyalahgunaan
Reka bentuk	Analisis risiko keselamatan untuk merancang. Pembangunan Rancangan Ujian termasuk ujian keselamatan
Pengekodan dan Ujian Unit	Ujian Statik dan Dinamik dan Ujian Kotak Putih Keselamatan
Ujian Integrasi	Ujian Kotak Hitam
Ujian Sistem	Ujian Kotak Hitam dan pengimbasan Kerentanan
Pelaksanaan	Ujian Penetrasi, Pengimbasan Kerentanan
Sokongan	Analisis kesan Patch

Pelan ujian harus merangkumi

Kes ujian atau senario berkaitan keselamatan
Data Ujian yang berkaitan dengan ujian keselamatan
Alat Ujian diperlukan untuk ujian keselamatan
Analisis pelbagai hasil ujian dari alat keselamatan yang berbeza

Contoh Senario Ujian untuk Ujian Keselamatan:

Contoh senario Ujian untuk melihat sekilas kes ujian keselamatan -

Kata laluan hendaklah dalam format yang dienkripsi
Aplikasi atau Sistem tidak boleh membenarkan pengguna tidak sah
Periksa kuki dan masa sesi untuk permohonan
Untuk laman web kewangan, butang kembali Penyemak Imbas tidak boleh berfungsi.

Metodologi / Pendekatan / Teknik untuk Ujian Keselamatan

Dalam ujian keselamatan, metodologi yang berbeza diikuti, dan ia adalah seperti berikut:

Tiger Box : Peretasan ini biasanya dilakukan pada komputer riba yang mempunyai koleksi OS dan alat peretasan. Ujian ini membantu penguji penembusan dan penguji keselamatan untuk melakukan penilaian dan serangan kerentanan.
Kotak Hitam : Penguji diberi kuasa untuk melakukan pengujian terhadap semua perkara mengenai topologi rangkaian dan teknologi.
Kotak Kelabu : Sebilangan maklumat diberikan kepada penguji mengenai sistem ini, dan ia adalah model kacukan model kotak putih dan hitam.

Peranan Ujian Keselamatan

Peretas - Akses sistem komputer atau rangkaian tanpa kebenaran
Crackers - Masuk ke dalam sistem untuk mencuri atau memusnahkan data
Penggodam Etika - Melakukan sebahagian besar aktiviti pecah tetapi dengan izin daripada pemiliknya
Skrip Kiddies atau paket monyet - Penggodam yang tidak berpengalaman dengan kemahiran bahasa pengaturcaraan

Alat Ujian Keselamatan

1) Penceroboh

Intruder adalah pengimbas kerentanan kelas perusahaan yang mudah digunakan. Ia menjalankan lebih daripada 10,000 pemeriksaan keselamatan berkualiti tinggi di seluruh infrastruktur IT anda, yang merangkumi, tetapi tidak terhad kepada: kelemahan konfigurasi, kelemahan aplikasi (seperti suntikan SQL & skrip lintas-laman web) dan patch yang hilang. Memberikan hasil yang diprioritaskan dengan bijak serta imbasan proaktif untuk ancaman terbaru, Intruder membantu menjimatkan masa dan memastikan perniagaan dari semua saiz selamat dari penggodam.

Ciri-ciri:

Penyambung AWS, Azure dan Google Cloud
Hasil khusus perimeter untuk mengurangkan permukaan serangan luaran anda
Pelaporan berkualiti tinggi
Integrasi Slack, Microsoft Teams, Jira, Zapier
Integrasi API dengan saluran paip CI / CD anda

2) Owasp

Projek Keselamatan Aplikasi Web Terbuka (OWASP) adalah organisasi bukan untung di seluruh dunia yang memfokuskan pada peningkatan keselamatan perisian. Projek ini mempunyai pelbagai alat untuk menguji pelbagai persekitaran dan protokol perisian. Alat utama projek termasuk

Zed Attack Proxy (ZAP - alat ujian penembusan bersepadu)
Pemeriksaan Ketergantungan OWASP (mengimbas kebergantungan projek dan memeriksa kelemahan yang diketahui)
Projek Persekitaran Ujian Web OWASP (koleksi alat dan dokumentasi keselamatan)

3) WireShark

Wireshark adalah alat analisis rangkaian yang sebelumnya dikenali sebagai Ethereal. Ia menangkap paket dalam masa nyata dan memaparkannya dalam format yang boleh dibaca oleh manusia. Pada dasarnya, ia adalah penganalisis paket rangkaian- yang memberikan perincian minit mengenai protokol rangkaian anda, penyahsulitan, maklumat paket, dll. Ia adalah sumber terbuka dan boleh digunakan pada Linux, Windows, OS X, Solaris, NetBSD, FreeBSD dan banyak lagi sistem lain. Maklumat yang diperoleh melalui alat ini dapat dilihat melalui GUI atau mod TTY TShark Utility.

4) W3af

w3af adalah kerangka serangan dan audit aplikasi web. Ia mempunyai tiga jenis pemalam; penemuan, audit dan serangan yang berkomunikasi antara satu sama lain untuk sebarang kelemahan di laman web, misalnya plugin penemuan di w3af mencari url yang berbeza untuk menguji kerentanan dan meneruskannya ke plugin audit yang kemudian menggunakan URL ini untuk mencari kelemahan.

Mitos dan Fakta ujian Keselamatan:

Mari kita bincangkan topik menarik mengenai Mitos dan fakta ujian keselamatan:

Mitos # 1 Kami tidak memerlukan polisi keselamatan kerana kami mempunyai perniagaan kecil

Fakta: Setiap orang dan setiap syarikat memerlukan polisi keselamatan

Mitos # 2 Tidak ada pulangan pelaburan dalam ujian keselamatan

Fakta: Ujian Keselamatan dapat menunjukkan bidang untuk peningkatan yang dapat meningkatkan kecekapan dan mengurangkan waktu henti, memungkinkan throughput maksimum.

Mitos # 3 : Satu-satunya cara untuk selamat adalah dengan mencabutnya.

Fakta: Satu-satunya cara terbaik untuk mendapatkan organisasi adalah dengan mencari "Keamanan Sempurna". Keselamatan yang sempurna dapat dicapai dengan melakukan penilaian postur dan membandingkan dengan justifikasi perniagaan, undang-undang dan industri.

Mitos # 4 : Internet tidak selamat. Saya akan membeli perisian atau perkakasan untuk melindungi sistem dan menyelamatkan perniagaan.

Fakta: Salah satu masalah terbesar adalah membeli perisian dan perkakasan untuk keselamatan. Sebaliknya, organisasi harus memahami keselamatan terlebih dahulu dan kemudian menerapkannya.

Kesimpulan:

Ujian keselamatan adalah ujian terpenting untuk aplikasi dan memeriksa sama ada data sulit tetap dirahsiakan. Dalam jenis ujian ini, penguji memainkan peranan sebagai penyerang dan bermain-main di sekitar sistem untuk mencari bug yang berkaitan dengan keselamatan. Ujian Keselamatan sangat penting dalam Kejuruteraan Perisian untuk melindungi data dengan segala cara.

Apa itu Ujian Keselamatan? Jenis dengan Contoh

Isi kandungan:

Apa itu Ujian Keselamatan?

Mengapa Ujian Keselamatan Penting?

Jenis Ujian Keselamatan:

Cara melakukan Ujian Keselamatan

Contoh Senario Ujian untuk Ujian Keselamatan:

Metodologi / Pendekatan / Teknik untuk Ujian Keselamatan

Peranan Ujian Keselamatan

Alat Ujian Keselamatan

1) Penceroboh

2) Owasp

3) WireShark

4) W3af

Mitos dan Fakta ujian Keselamatan:

Tutorial Uji Aplikasi Android dengan Rangka Kerja Automasi

Tutorial Robotium: Rangka Kerja Android Pertama Anda

Ujian Prestasi Aplikasi Mudah Alih: Daftar Periksa, Alat (Andriod & iOS)

Tutorial Ujian Aplikasi iOS: Manual & Automasi

Ujian Automasi iOS menggunakan kerangka UIAutomation

Panduan Lengkap untuk Flexbox - Trik CSS

Kaki Tetap - Trik CSS

Kedudukan Tetap di IE 6 - Trik CSS

Font Shorthand - Trik CSS

Tumpukan Fon - Trik CSS

Apa itu Alat Uji Timun? Pengenalan Rangka Kerja

Cara Muat turun & Pasang CUCUMBER di Windows

Apakah Fail Cucumber Feature & Definisi Langkah? (dengan Contoh)

Bahasa Gherkin: Format, Sintaks & Ujian Gherkin dalam Timun

50 Alat Uji Perisian Teratas pada tahun 2021