ペネトレーションテスト-修復
ペネトレーションテストの取り組みは、たとえ徹底的であっても、セキュリティコントロールの有効性が不十分なすべてのインスタンスを網羅的に発見できるとは限りません。アプリケーションの1つの領域でクロスサイトスクリプティングの脆弱性またはリスクを特定しても、アプリケーションに存在するこの脆弱性のすべてのインスタンスが確実に公開されるとは限りません。この章では、修復の概念と有用性について説明します。
修復とは何ですか?
修復とは、間違いを置き換えて正しく設定するための改善を提供する行為です。多くの場合、ある領域に脆弱性が存在する場合は、他の場所で同様の脆弱性を複製または有効化した可能性のあるプロセスまたは開発プラクティスの弱点を示している可能性があります。したがって、修正する際には、テスターが、効果のないセキュリティ制御を念頭に置いて、テスト対象のエンティティまたはアプリケーションを注意深く調査することが重要です。
これらの理由により、それぞれの会社は、最初の侵入テスト後の妥当な期間内に、悪用可能な脆弱性を修正するための措置を講じる必要があります。実際、会社がこれらの手順を完了するとすぐに、侵入テストを実行して、元のリスクを軽減できる新しく実装されたコントロールを検証する必要があります。
最初の侵入テストの後、より長い期間にわたる修復作業では、最新の環境の正確な結果を保証するために、新しいテスト作業を実行する必要がある場合があります。この決定は、元のテストが完了してからどの程度の変更が発生したかについてのリスク分析の後に行う必要があります。
さらに、特定の条件では、フラグが立てられたセキュリティ問題は、それぞれの環境またはアプリケーションの基本的な欠陥を示している可能性があります。したがって、再テストの範囲では、テストから特定された修復によって引き起こされた変更が重要として分類されるかどうかを検討する必要があります。すべての変更を再テストする必要があります。ただし、システム全体の再テストが必要かどうかは、変更のリスク評価によって決定されます。