Co je to test penetrace webové aplikace?

Test penetrace webové aplikace je aktivita určená k posouzení, jak by se internetový program choval během útoku nebo využití. Tyto testy využívají řadu softwarových programů ke skenování aplikace a poté provedení různých akcí, ke kterým by se mohlo objevit během skutečného útoku. Test penetrace webové aplikace může provést vývojový tým nebo poskytovatel služeb třetích stran. Pokud je použit externí poskytovatel, vývojový tým nebo pracovníci informačních technologií (IT) nebudou o testu někdy informováni vedením. To může umožnit testu penetrace webové aplikace k odhalení nedostatků, které by jinak mohly být bez povšimnutí, což může umožnit vyřešení těchto problémů před vydáním softwaru. Tyto aplikace mohou provádět mnoho funkcí a v některých případech jsou odpovědné za manipulaci s údaji, které jsou považovány za soukromé nebo dokonce cenné. Za toVyvarujte se kompromitujícího útoků, testy penetrace se obvykle provádějí k nalezení jakýchkoli slabostí nebo snadno využívaných oblastí v kódu.

Typické testy penetrace webové aplikace začínají fází shromažďování informací. Účelem tohoto kroku je určit co nejvíce informací o aplikaci. Posíláním požadavků na aplikaci a použitím nástrojů, jako jsou skenery a vyhledávače, je často možné získat informace, jako jsou čísla verzí softwaru a chybové zprávy, které se často používají k nalezení využití později.

Po nashromáždění dostatečného množství informací je dalším cílem testu penetrace webové aplikace provést řadu různých útoků a vykořisťování. V některých případech budou informace shromážděné v první fázi identifikovat využití, které by aplikace mohla být zranitelná. Pokud nebyly zjištěny žádné zjevné zranitelnostilze pokusit se o celou řadu útoků a vykořisťování.

Mnoho různých technických zranitelnosti může být umístěno pomocí testu penetrace webové aplikace. Tyto testy se obvykle pokusí použít metody, jako je manipulace s univerzálním lokátorem (URL), únos relace a injekci strukturovaného jazyka dotazů (SQL), aby se vložily do aplikace. Může také existovat pokus o zahájení přetečení vyrovnávací paměti nebo jiné podobné akce, které mohou způsobit abnormálně chovat se aplikaci. Pokud některý z těchto útoků nebo vykořisťování způsobí, že aplikace odhalí citlivá data testeru penetrace, nedostatky jsou obvykle hlášeny spolu s navrhovaným postupem.