Teste de Segurança
O que é teste de segurança?
O teste de segurança é uma técnica de teste para determinar se um sistema de informações protege os dados e mantém a funcionalidade conforme pretendido. Também visa verificar 6 princípios básicos listados abaixo:
Confidentiality
Integrity
Authentication
Authorization
Availability
Non-repudiation
Teste de segurança - técnicas:
Injection
Autenticação quebrada e gerenciamento de sessão
Cross-Site Scripting (XSS)
Referências inseguras de objetos diretos
Configuração incorreta de segurança
Exposição de dados sensíveis
Controle de acesso de nível de função ausente
Cross-Site Request Forgery (CSRF)
Usando componentes com vulnerabilidades conhecidas
Redirecionamentos e encaminhamentos não validados
Ferramentas de teste de segurança gratuitas / de código aberto:
produtos | Fornecedor | URL |
---|---|---|
FxCop | Microsoft | https://www.owasp.org/index.php/FxCop |
FindBugs | A universidade de maryland | http://findbugs.sourceforge.net/ |
FlawFinder | GPL | http://www.dwheeler.com/flawfinder/ |
Rampa Subida | GPL | http://www.deque.com |
Ferramentas de teste de segurança comercial:
produtos | Fornecedor | URL |
---|---|---|
Armorize CodeSecure | Armorize Technologies | http://www.armorize.com/index.php?link_id=codesecure |
GrammaTech | GrammaTech | http://www.grammatech.com/ |
Appscan | IBM | http://www-03.ibm.com/software/products/en/appscan-source |
Veracode | VERACODE | http://www.veracode.com |