アプリケーションレベルの攻撃の最も一般的な标的が奥别产であることをご存知でしたか?しかも、何らかの理由で奥别产アプリケーションのセキュリティに関わる作业に携わった経験がある方は、その実现が容易でないこともご存知でしょう。アプリケーションセキュリティを実现するには、戦略的アプローチをとることが重要です。この奥别产アプリケーション?セキュリティ?テスト?チェックリストは、テスト手顺を理解し、テストの主要な要素を把握して见落としを防ぐためのガイドです。
以下の6つのステップに従ってアプローチをカスタマイズし、最大限に効果的、効率的、かつ迅速なテスト方式を実现しましょう。
アプリケーションの计画およびテストを适切に行うためにそれに适した质问をします。
これにはユーザーがコンテンツを追加、変更、削除できる部分が含まれます。これに该当する箇所では、入力のサニタイジングと出力のエンコーディングを検証する必要があります。
例:ブログの投稿のようにユーザーが大量のデータを入力できるアプリケーションの场合(特に贬罢惭尝エディタを利用する场合)、适切な予防メカニズムを设けないとインジェクション攻撃のリスクが高くなります。
これはバイパス、エスカレーション、重要データの漏えいの手法に特化して手动テストが必要な部分などが対象になります。ビジネスロジック?フローは、データフローごとに、またアプリケーションに対して一意となるように定义することができます。この种の机能は自动解析では见落とされることが多くあります。
例:承认ワークフローや特権アカウントによるアクセスを伴う机能を含めることができます。テスト担当者は以下のことを确认する必要があります。
この手顺は、ロックアウトや复数のチームメンバーがアクセスする场合に必要です。
テスト方式を文书化し、各评価担当者に作业内容とテスト関连の作业に当てることができる期间を确実に周知します。
认証を行うアプリケーションの场合、以下のチェック项目が当てはまります(これに限られません)。
専门に応じて、机能または脆弱性のタイプ别にチームメンバー间でアプリケーションを分割することをお勧めします。
コンフィグレーションとスキャンの担当者を割り当てます。
この时点で报告书を作成することをお勧めします。
内部の状况报告ミーティングは週2回行い、テスト担当者とプロジェクト/顾客担当マネージャーを参加させます。外部の状况报告ミーティングは週1回行い、内部チームと顾客を参加させます。可能であれば、プロジェクトマネージャーがチームの状况をひととおり説明してからチームメンバーに详细の报告を引き継ぎます。
この作业は顾客からの依頼があった场合にのみ行います。
契约条件に规定されている场合。この作业は実施フェーズで役立ち、调整が必要になった场合にスコープに関する详细情报を得ることができます。
テストを行って脆弱性を検出します(存在する场合)。
自动化ツールは慎重に选んでください(最低でも一般的なOWASP Top 10脆弱性に対応していること)。自动テストを利用することにより、テスト担当者は手动解析が必要なビジネスロジックとデータフローにスキルを集中できます。自动テストは、ライセンスを取得して利用している、または内製したツールに応じて组织ごとに若干异なります。
手动テストは、一般に自动テストでは见落とされているビジネスロジックやデータフローに対応します。手动テストの例を次に示します。
ほとんどのツールでは、同じページに複数の要求を送信して異なる応答が返ってくるかどうかを確認します。また、多くのツールでは、HTTP 500エラーが返された場合には脆弱性が存在するとされます。要求とエラーメッセージを確認して脆弱性が実際に生じているかどうかを判断するのはテスト担当者の責任です。
脆弱性が见つからなかった场合でも、顾客からテスト结果の提出を依頼されることがあります。
结果をすべて文书化し、顾客に报告します。
これには説明、インスタンス(影响する鲍搁尝)、ロール、証拠、再现手顺、可能性、影响、対策を含める必要があります。
これにより一贯性、体裁、テクニカルライティングに不备がないことを确认します。
(顾客から依頼された场合)结果をレビューし、话し合いに基づいて适宜调整を行います。
テストで検出された脆弱性に対処します。
具体的な対策作业を开発者に割り当てるのはアプリケーション所有者の役割です。コードのすべての类似箇所に修正を适用することが重要です。ブラックボックス?テストは网罗的なものではなく、同様の问题が存在する可能性があります。
テストで见つかった脆弱性が解决され、修正を回避できないようになっていることを确认します。
以前に発见された具体的な问题を探します。
齿厂厂フィルタ回避手法を実行し、さまざまなロールでエスカレーション攻撃を试行し、别の鲍搁尝へのリダイレクトを行います。