АНАЛІЗ ІНСТРУМЕНТІВ ТЕСТУВАННЯ ВЕБЗАСТОСУНКІВ

Олена Трофименко; Анастасія Дика; Юлія Лобода

doi:10.28925/2663-4023.2023.20.6271

Автор(и)

Олена Трофименко Національний університет «Одеська юридична академія» https://orcid.org/0000-0001-7626-0886
Анастасія Дика Національний університет «Одеська юридична академія» https://orcid.org/0000-0002-4196-8734
Юлія Лобода Національний університет «Одеська юридична академія» https://orcid.org/0000-0001-7083-552X

DOI:

https://doi.org/10.28925/2663-4023.2023.20.6271

Ключові слова:

тестуваннябезпеки; вебзастосунок; безпека вебзастосунків; уразливості безпеки; інструменти тестування

Анотація

У статті проаналізовані сучасні методи та інструменти, які використовуються для тестування безпеки вебзастосунків. Поширеність порушень безпеки вебзастосунків та важливість їх запобігання зробило тестування безпеки невіддільною складовою життєвого циклу розробки відповідного ПЗ, яка має виявляти вразливості, пов'язані із забезпеченням цілісного підходу до захисту програми від хакерських атак, вірусів, несанкціонованого доступу до конфіденційних даних. Для виявлення уразливостей безпеки є різні інструменти тестування безпеки, серед яких популярними є: статичне та динамічне тестування безпеки (SAST та DAST), інтерактивне тестування (IAST), аналіз складу ПЗ (SCA), самозахист програми під час виконання (RASP), брандмауери (WAF), керування станом захисту хмарних середовищ (CSPM). Аналіз сучасних інструментів тестування безпеки показав, що всі вони мають свої переваги і недоліки через специфіку своєї організації. Комбінування та використання переваг кожного з них може забезпечити високий рівень безпеки програмного вебпродукту. Можливими проблемами, пов’язаними з аспектом вебтестування безпеки, є: зламані або ненадійні паролі, переповнення буфера, маніпулювання прихованими полями, ненадійне використання криптографії, перехоплення файлів cookie, неправильні конфігурації сервера, слабке керування сеансами, розкриття конфіденційних даних, маніпуляції з параметрами, соціальне хакерство, неадекватна перевірка введених даних тощо. Зосередження на різних питаннях і проблемах, пов’язаних із тестуванням безпеки вебзастосунків, надає значні дивіденди у виявленні та усуненні різноманітних ризиків, уразливостей, атак, загроз, вірусів тощо. Щоб адаптуватися до динамічної та неоднорідної природи Інтернету та якнайкраще забезпечити захист вебзастосунків, ефективним є комплексний і збалансований підхід до тестування їх безпеки та вибору відповідних засобів.

Ключові слова: тестування безпеки; вебзастосунок; безпека вебзастосунків; уразливості

Завантаження

Дані завантаження ще не доступні.

Посилання

Aydos, M., Aldan, Ç., Coşkun, E., Soydan, A. (2022). Security testing of web applications: A systematic mapping of the literature. Journal of King Saud University - Computer and Information Sciences, 34(9), 6775-6792, https://doi.org/10.1016/j.jksuci.2021.09.018.

Mubshra, Q., Shahid, F., Mohd, H., Nizam, B., Md, N., Atif, A. (2021). A Rigorous Approach to Prioritizing Challenges of Web-Based Application Systems. Malaysian Journal of Computer Science, 34, https://doi.org/10.22452/mjcs.vol34no2.1.

Lim, S., Norafida, I., Syed, S. (2018). The approaches to quantify web application security scanners quality: A review. International Journal of Advanced Computer Research, 8, 285-312, https://doi.org/10.19101/IJACR.2018.838012.

Shahid, J., Hameed, M., Javed, I., Qureshi, K., Ali, M., Crespi, N. (2022). A Comparative Study of Web Application Security Parameters: Current Trends and Future Directions. Applied Sciences, 12, 4077, https://doi.org/10.3390/app12084077.

Dukes, L., Yuan, X., Akowuah, F. (2013). A case study on web application security testing with tools and manual testing. Proceedings of IEEE Southeastcon-2013, 1-6. https://doi.org/10.1109/SECON.2013.6567420.

Web Security Testing Guide. https://owasp.org/www-project-web-security-testing-guide/stable/2-Introduction/

The complete guide to developer-first application security. GitHub. https://assets.ctfassets.net/wfutmusr1t3h/397ElOPOMY8H6wSwfFvf4z/06ed44457b6fb3a9bd77134c098749ea/GitHubAdvanced_SecurityEbook.pdf.

Software Testing Help. Differences between SAST, DAST, IAST, and RASP. https://www.softwaretestinghelp.com/differences-between-sast-dast-iast-and-rasp/.

Interactive Application Security Testing. https://www.contrastsecurity.com/glossary/interactive-application-security-testing

What is RASP: Runtime Application Self Protection. https://www.softwaretestinghelp.com/rasp-tutorial/

Security testing tools: SAST / DAST / IAST / RAPS. https://qagroup.com.ua/publications/instrumenty-testuvannia-bezpeky-sast-dast-iast-raps/

Top 28 Cloud Security Posture Management (CSPM) Tools. https://startupstash.com/cloud-security-posture-management-tools/

Trofymenko, O., Pasternak, Yu., Manakov, S., Loboda, Yu. (2021). Automation of testing e-commerce websites. Modern Special Technics, 2(65), 46-59, https://doi.org/10.36486/mst2411–3816.2021.2(65).5.

Nivedita, J. 10 Best Automated Penetration Testing Tools of 2023. https://www.getastra.com/blog/security-audit/automated-penetration-testing-software/

Saumick, B. 17 Best Penetration Testing Tools/Software of 2023 [Reviewed]. https://www.getastra.com/blog/security-audit/best-penetration-testing-tools/

Keshav, M. Automated VS Manual Security Testing – Which One to Choose? https://www.getastra.com/blog/security-audit/manual-security-testing/