Testy bezpieczeństwa aplikacji
Aplikacje internetowe stanowią piętę achillesową współczesnych systemów informatycznych. Dzieje się tak, gdyż problemy bezpieczeństwa aplikacji są mocno niedoceniane, a również dlatego, że brakuje standaryzacji w zakresie budowania bezpiecznego oprogramowania. Aplikacje to także bardzo atrakcyjne z punktu widzenia intruzów miejsca pełne informacji biznesowych.
Jednym ze sposobów zmniejszania ryzyka utraty danych bądź reputacji jest sprawdzenie bezpieczeństwa aplikacji, zanim zrobi to ktoś niepożądany. Pierwszy krok, jaki proponujemy to wykonanie testów i oceny bezpieczeństwa. Celem testów jest wykrycie podatności aplikacji na ewentualne ataki, czyli znalezienie luk, które mogłyby zostać wykorzystane w celu uzyskania dostępu do cennych informacji.
Testy penetracyjne
W zakresie podstawowym testy bezpieczeństwa oznaczają kontrolowane próby złamania zabezpieczeń, określane również jako testy penetracyjne. Należy je wykonać przed wdrożeniem aplikacji, ale w miarę możliwości po przetestowaniu jej funkcjonalności i wydajności.
Przegląd kodu źródłowego
Zakres rozszerzony testów bezpieczeństwa obejmuje kontrolę kodu źródłowego. Ta metoda badania bezpieczeństwa daje pełniejszą możliwość weryfikacji hipotez i założeń (wynikających z testów penetracyjnych). Nie w każdym przypadku jest jednak możliwy dostęp do kodu źródłowego, a tym samym wykonanie rozszerzonego testu.
Ocena bezpieczeństwa
Jeśli celem działań ma być również wydanie opinii o bezpieczeństwie aplikacji, warto wziąć pod uwagę rozszerzenie zakresu testów o ocenę zastosowanych metod zabezpieczających. Pozwoli to nie tylko na znalezienie niedoskonałości, ale także dokonanie rzetelnej recenzji zastosowanych zabezpieczeń. Ocena jest przygotowana w oparciu o standard OWASP ASVS (Application Security Verification Standard). Powstały w jej wyniku raport zawiera opinie o kilkunastu kluczowych aspektach bezpieczeństwa określonych w standardzie i jest dostosowywany do specyfiki używanej aplikacji.