АНАЛІЗ ІНСТРУМЕНТІВ ТЕСТУВАННЯ ВЕБЗАСТОСУНКІВ
DOI:
https://doi.org/10.28925/2663-4023.2023.20.6271Ключові слова:
тестуваннябезпеки; вебзастосунок; безпека вебзастосунків; уразливості безпеки; інструменти тестуванняАнотація
У статті проаналізовані сучасні методи та інструменти, які використовуються для тестування безпеки вебзастосунків. Поширеність порушень безпеки вебзастосунків та важливість їх запобігання зробило тестування безпеки невіддільною складовою життєвого циклу розробки відповідного ПЗ, яка має виявляти вразливості, пов'язані із забезпеченням цілісного підходу до захисту програми від хакерських атак, вірусів, несанкціонованого доступу до конфіденційних даних. Для виявлення уразливостей безпеки є різні інструменти тестування безпеки, серед яких популярними є: статичне та динамічне тестування безпеки (SAST та DAST), інтерактивне тестування (IAST), аналіз складу ПЗ (SCA), самозахист програми під час виконання (RASP), брандмауери (WAF), керування станом захисту хмарних середовищ (CSPM). Аналіз сучасних інструментів тестування безпеки показав, що всі вони мають свої переваги і недоліки через специфіку своєї організації. Комбінування та використання переваг кожного з них може забезпечити високий рівень безпеки програмного вебпродукту. Можливими проблемами, пов’язаними з аспектом вебтестування безпеки, є: зламані або ненадійні паролі, переповнення буфера, маніпулювання прихованими полями, ненадійне використання криптографії, перехоплення файлів cookie, неправильні конфігурації сервера, слабке керування сеансами, розкриття конфіденційних даних, маніпуляції з параметрами, соціальне хакерство, неадекватна перевірка введених даних тощо. Зосередження на різних питаннях і проблемах, пов’язаних із тестуванням безпеки вебзастосунків, надає значні дивіденди у виявленні та усуненні різноманітних ризиків, уразливостей, атак, загроз, вірусів тощо. Щоб адаптуватися до динамічної та неоднорідної природи Інтернету та якнайкраще забезпечити захист вебзастосунків, ефективним є комплексний і збалансований підхід до тестування їх безпеки та вибору відповідних засобів.
Ключові слова: тестування безпеки; вебзастосунок; безпека вебзастосунків; уразливості
Завантаження
Посилання
Aydos, M., Aldan, Ç., Coşkun, E., Soydan, A. (2022). Security testing of web applications: A systematic mapping of the literature. Journal of King Saud University - Computer and Information Sciences, 34(9), 6775-6792, https://doi.org/10.1016/j.jksuci.2021.09.018.
Mubshra, Q., Shahid, F., Mohd, H., Nizam, B., Md, N., Atif, A. (2021). A Rigorous Approach to Prioritizing Challenges of Web-Based Application Systems. Malaysian Journal of Computer Science, 34, https://doi.org/10.22452/mjcs.vol34no2.1.
Lim, S., Norafida, I., Syed, S. (2018). The approaches to quantify web application security scanners quality: A review. International Journal of Advanced Computer Research, 8, 285-312, https://doi.org/10.19101/IJACR.2018.838012.
Shahid, J., Hameed, M., Javed, I., Qureshi, K., Ali, M., Crespi, N. (2022). A Comparative Study of Web Application Security Parameters: Current Trends and Future Directions. Applied Sciences, 12, 4077, https://doi.org/10.3390/app12084077.
Dukes, L., Yuan, X., Akowuah, F. (2013). A case study on web application security testing with tools and manual testing. Proceedings of IEEE Southeastcon-2013, 1-6. https://doi.org/10.1109/SECON.2013.6567420.
Web Security Testing Guide. https://owasp.org/www-project-web-security-testing-guide/stable/2-Introduction/
The complete guide to developer-first application security. GitHub. https://assets.ctfassets.net/wfutmusr1t3h/397ElOPOMY8H6wSwfFvf4z/06ed44457b6fb3a9bd77134c098749ea/GitHubAdvanced_SecurityEbook.pdf.
Software Testing Help. Differences between SAST, DAST, IAST, and RASP. https://www.softwaretestinghelp.com/differences-between-sast-dast-iast-and-rasp/.
Interactive Application Security Testing. https://www.contrastsecurity.com/glossary/interactive-application-security-testing
What is RASP: Runtime Application Self Protection. https://www.softwaretestinghelp.com/rasp-tutorial/
Security testing tools: SAST / DAST / IAST / RAPS. https://qagroup.com.ua/publications/instrumenty-testuvannia-bezpeky-sast-dast-iast-raps/
Top 28 Cloud Security Posture Management (CSPM) Tools. https://startupstash.com/cloud-security-posture-management-tools/
Trofymenko, O., Pasternak, Yu., Manakov, S., Loboda, Yu. (2021). Automation of testing e-commerce websites. Modern Special Technics, 2(65), 46-59, https://doi.org/10.36486/mst2411–3816.2021.2(65).5.
Nivedita, J. 10 Best Automated Penetration Testing Tools of 2023. https://www.getastra.com/blog/security-audit/automated-penetration-testing-software/
Saumick, B. 17 Best Penetration Testing Tools/Software of 2023 [Reviewed]. https://www.getastra.com/blog/security-audit/best-penetration-testing-tools/
Keshav, M. Automated VS Manual Security Testing – Which One to Choose? https://www.getastra.com/blog/security-audit/manual-security-testing/
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2023 Admin Skladannyi; Олена Трофименко, Анастасія Дика, Юлія Лобода
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.