web-dev-qa-db-fra.com

Où commencer avec les tests de sécurité?

En commençant par une équipe d'AQ qui traite principalement des tests d'exigences fonctionnelles et a peu d'expérience de test de sécurité réelle, quelles sont les choses pratiques simples que l'équipe QA devrait-elle commencer à commencer à penser comme un attaquant?

Quelques exemples que je peux immédiatement penser sont:

  1. utilisation de caractères spéciaux dans les champs de saisie de texte, par ex. '%$<>|" etc.
  2. tenter de déborder des champs de texte, par exemple aaaaaaaaaaaaaaaaaaaaaaaaaaaa...aaa
  3. Cas de bord, conditions limites
15
Colin Cassidy

Pour ajouter à la réponse d'Ewanm89, une approche générale des tests de pénétration est effectuée en divisant le test en phases différentes:

  • Planification
  • Découverte/collecte d'informations
  • Attaque
  • Rapport

Planification

Pendant la phase de planification, vous définissez généralement la portée de l'attaque (quels systèmes et quelles parties de celui-ci à tester)

Découverte/collecte d'informations

Discovery hôte, découverte de service, mappage de topologie de réseau, recherche de champs de formulaire HTTP/HTML pouvant être testé plus loin. Quelles informations à rassembler sont en fonction du type de test de sécurité que vous allez effectuer.

Attaque

Possibilité de vulnérabilités sur les services que vous avez découverts dans la phase précédente. Comme vous trouverez probablement des informations nouvelles et plus pertinentes pendant la phase d'attaque, vous allez vous déplacer entre la phase de découverte et d'attaque. C'est à dire. Backend SQL Server derrière le serveur Web.

Rapport

Dans cette section, vous rapportez vos résultats. Le rapport final dispose généralement des sections suivantes:

  • Résumé
  • Résultats détaillés
  • Niveaux de risque des vulnérabilités trouvées
  • Impact sur les entreprises
  • Recommandations
  • Conclusion

Le lien suivant décrit cette approche avec des détails: phases pentest

12
Dog eat cat world

En fin de compte, cela dépend de ce qui est testé. La première chose qu'un attaquant professionnel fait est de faire des recherches sur ce qui est en cours d'exécution, quelles faiblesses pourraient déjà être bien connues sur ce type de faiblesses aurait pu être ajouté.

Si c'est quelque chose avec une base de données, je vais essayer des tests d'injection SQL. Pour les services Web, je rechercherai des attaques XSS et CSRF. Les débordements de tampon sont probablement uniquement contre le serveur Web sous-jacent/machine virtuelle à moins que nous parlions du code natif ici (un client roulant à la maison).

Il n'y a personne de réponse, cela dépend de ce que l'on regarde.

2
ewanm89