Güvenlik Testi
Güvenlik Testi nedir?
Güvenlik testi, bir bilgi sisteminin verileri koruyup korumadığını ve işlevselliği amaçlandığı gibi sürdürüp sürdürmediğini belirlemek için kullanılan bir test tekniğidir. Ayrıca aşağıda listelendiği gibi 6 temel ilkeyi doğrulamayı amaçlamaktadır:
Confidentiality
Integrity
Authentication
Authorization
Availability
Non-repudiation
Güvenlik Testi - Teknikler:
Injection
Bozuk Kimlik Doğrulama ve Oturum Yönetimi
Siteler Arası Komut Dosyası (XSS)
Güvenli Olmayan Doğrudan Nesne Referansları
Yanlış Güvenlik Yapılandırması
Hassas Verilerin İfşası
Eksik İşlev Seviyesi Erişim Kontrolü
Siteler Arası İstek Sahteciliği (CSRF)
Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma
Doğrulanmamış Yönlendirmeler ve Yönlendirmeler
Açık Kaynak / Ücretsiz Güvenlik Test Araçları:
| Ürün | SATICI | URL |
|---|---|---|
| FxCop | Microsoft | https://www.owasp.org/index.php/FxCop |
| FindBugs | Maryland Üniversitesi | http://findbugs.sourceforge.net/ |
| Kusur bulucu | GPL | http://www.dwheeler.com/flawfinder/ |
| Rampa Yükselişi | GPL | http://www.deque.com |
Ticari Güvenlik Test Araçları:
| Ürün | SATICI | URL |
|---|---|---|
| Zırh Kodu Güvenli | Armorize Teknolojileri | http://www.armorize.com/index.php?link_id=codesecure |
| GrammaTech | GrammaTech | http://www.grammatech.com/ |
| Appscan | IBM | http://www-03.ibm.com/software/products/en/appscan-source |
| Veracode | VERACODE | http://www.veracode.com |