Test di sicurezza
Cos'è il test di sicurezza?
Il test di sicurezza è una tecnica di test per determinare se un sistema informativo protegge i dati e mantiene la funzionalità come previsto. Mira inoltre a verificare 6 principi di base elencati di seguito:
Confidentiality
Integrity
Authentication
Authorization
Availability
Non-repudiation
Test di sicurezza - Tecniche:
Injection
Autenticazione interrotta e gestione delle sessioni
Cross-Site Scripting (XSS)
Riferimenti a oggetti diretti non sicuri
Configurazione errata della sicurezza
Esposizione a dati sensibili
Controllo dell'accesso a livello di funzione mancante
Cross-Site Request Forgery (CSRF)
Utilizzo di componenti con vulnerabilità note
Reindirizzamenti e inoltri non convalidati
Strumenti di test di sicurezza open source / gratuiti:
| Prodotto | Venditore | URL |
|---|---|---|
| FxCop | Microsoft | https://www.owasp.org/index.php/FxCop |
| FindBugs | L'Università del Maryland | http://findbugs.sourceforge.net/ |
| FlawFinder | GPL | http://www.dwheeler.com/flawfinder/ |
| Ramp Ascend | GPL | http://www.deque.com |
Strumenti di test di sicurezza commerciale:
| Prodotto | Venditore | URL |
|---|---|---|
| Armorizza CodeSecure | Armorize Technologies | http://www.armorize.com/index.php?link_id=codesecure |
| GrammaTech | GrammaTech | http://www.grammatech.com/ |
| Appscan | IBM | http://www-03.ibm.com/software/products/en/appscan-source |
| Veracode | VERACODE | http://www.veracode.com |