2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 o 11 12 13 14 15
Генеральный
партнёр


Все на CodeFest X →

Десятый. Юбилейный. 30–31 марта 2019

QA: Базовое тестирование защищенности веб-приложений в рамках QA

В настоящее время распространенность веб-приложений не вызывает сомнений. Вместе с тем их безопасность зачастую оставляет желать лучшего. Хорошо, если в компании есть команда продуктовой безопасности, которая отвечает за тестирование защищенности. Но бывает и так, что веб-приложение разрабатывается в рамках стартапа или в команде или в компании, в которой нет специалистов по тестированию безопасности. В этом случае веб-приложение может быть атаковано злоумышленником с низким уровнем квалификации путем использования сканеров уязвимостей или каких-либо публичных эксплоитов. При этом если вы разрабатываете веб-приложение и хотите запустить программу Bug Bounty или провести Penetration Test, то также необходимо, чтобы данное веб-приложение уже имело набор минимально необходимых механизмов защиты. Согласно модели BSIMM (http://www.bsimm.com/) тестирование защищенности, как правило, начинается именно с команд QA, что требует от инженеров QA минимальных знаний в области безопасности, тестирования защищенности, а также понимания сути происходящего и их роли в безопасности продукта.
В докладе рассматриваются тесты защищенности веб-приложений, которые позволяют быстро и просто дать ответ на вопрос: имеет ли веб-приложение минимально-необходимый набор механизмов защиты.
Планируется рассмотреть как с точки зрения QA тестировать веб-приложение на наличие уязвимостей к атакам :
  • Slow HTTP DoS;
  • сбора информации через сервисы Google и Shodan;
  • подмены заголовка HTTP Host и URI;
  • перечисления пользователей;
  • завершения сессии и др.

А также как тестировать корректность и защищенность конфигурации:
  • заголовков безопасности HTTP;
  • SSL/TLS;
  • HTTP cookies;

Презентация будет являться некоторым чек-листом и содержать все описанные тест-кейсы, ссылки на инструменты и вектора атак, что позволит достаточно быстро проверить защищенность веб-приложения на практике.


Презентация доклада:

 

Запись выступления:



Партнёры