vòng đời phần mềm SDLC

Kiểm thử tự động với OWASP

Khái quát về OWASP

OWASP là một tiêu chuẩn testing bảo mật, để phục vụ việc kiểm thử bảo mật, Penetration Testing (Pentest) do tổ chức phi lợi nhuận về web: Open Web Application Security Project(OWASP) đưa ra. OWASP là tổ chức mã nguồn mở và đưa ra chuẩn OWASP phục vụ cho công việc pentesting hiệu quả và chi tiết.

Owasp Zap

Có thể được thực hiện trên hệ thống máy tính, web app, mobile app, hạ tầng mạng, IoT, ứng dụng và hạ tầng cloud, phần mềm dịch vụ SaaS, API, source code, hoặc một đối tượng IT có kết nối với internet và có khả năng bị tấn công… nhưng phổ biến nhất là pentest web app và mobile app. Những thành phần trên được gọi là đối tượng kiểm thử (pentest target).

Dự án Thử nghiệm OWASP đã được phát triển trong nhiều năm. Mục đích của dự án là giúp mọi người hiểu cái gì , tại sao , khi nào , ở đâu và làm thế nào để thử nghiệm các ứng dụng web.

Dự án đã cung cấp một khung thử nghiệm hoàn chỉnh, không chỉ đơn thuần là một danh sách kiểm tra đơn giản hoặc đơn thuốc về các vấn đề cần được giải quyết. Người đọc có thể sử dụng khuôn khổ này làm khuôn mẫu để xây dựng các chương trình thử nghiệm của riêng họ hoặc để kiểm tra các quy trình của người khác.

Hướng dẫn Kiểm tra mô tả chi tiết cả khung thử nghiệm chung và các kỹ thuật cần thiết để triển khai khung trong thực tế. Hầu hết mọi người ngày nay không kiểm tra phần mềm cho đến khi nó đã được tạo ra và đang trong giai đoạn triển khai trong vòng đời của nó (tức là mã đã được tạo và khởi tạo thành một ứng dụng web đang hoạt động).

Vòng đời phần mềm SDLC

Testing bảo mật thường là một thực hành rất kém hiệu quả và tốn kém. Một trong những phương pháp tốt nhất để ngăn lỗi bảo mật xuất hiện trong các ứng dụng sản xuất là cải thiện Vòng đời phát triển phần mềm (SDLC) bằng cách bao gồm bảo mật trong từng giai đoạn của nó.

SDLC là một cấu trúc áp đặt cho sự phát triển của các tạo tác phần mềm. Nếu một SDLC hiện không được sử dụng trong môi trường của bạn, đã đến lúc chọn một SDLC! Hình dưới đây cho thấy một mô hình SDLC chung cũng như chi phí sửa lỗi bảo mật (ước tính) ngày càng tăng trong một mô hình như vậy.

vòng đời phần mềm SDLC

Để hiểu rõ hơn về Pentest, ta cần hiểu rõ ba khái niệm cơ bản trong bảo mật là “vulnerabilities”, “exploits”, và “payloads”:

  • Lỗ hổng (vulnerabilities) là những điểm yếu bảo mật của một phần mềm, phần cứng, hệ điều hành, hay ứng dụng web cho phép kẻ tấn công một cơ sở để tấn công hệ thống. Lỗ hổng có thể đơn giản như mật khẩu yếu, hay phức tạp như lỗ hổng SQL hoặc tràn bộ nhớ đệm.
  • Khai thác (exploits) là hành động lợi dụng một lỗ hổng, sự cố hay lỗi của phần mềm, đoạn dữ liệu hay một chuỗi các lệnh nhằm gây ra hành vi bất thường không mong muốn xảy ra trên một hệ thống máy tính. Những hành vi đó bao gồm leo thang đặc quyền, đánh cắp thông tin nhạy cảm, tấn công từ chối dịch vụ, v.v.
  • Trọng tải (payloads) là một phần của hệ thống đang tồn tại lỗ hổng và là mục tiêu để khai thác.

Xem thêm hướng dẫn testing owasp

Quý khách có thể tham khảo hơn ở các dịch vụ do websitehcm.com cung cấp như: dịch vụ seo, dịch vụ viết content , dịch vụ chăm sóc website, thiết kế web giá rẻ

Leave a Reply