Sikkerhedstestning i Itera

Woman posing in office. Photo.

Sikkerhedstestning

Som nyuddannet civilingeniør indenfor kommunikationsteknologi med speciale i informationssikkerhed er der mange jobmuligheder. I en verden, hvor hacking stadig er en stigende trussel, øges behovet for sikkerhedskompetence. For mig var valget let, da jeg blev tilbudt et fast job som tester i Itera. For at udvikle sikre løsninger er det vigtigt at øge både opmærksomhed og viden om sikkerhed i alle faser af softwareudvikling, herunder i testfasen.

 

Indsendt af Vilde Amundsen, Tester

 

Testmiljøet i Itera

Itera er kendt for et meget kompetent testmiljø, der konstant ønsker at udvikle sig og innovere. Med fokus på fag og kompetenceforbedring har Itera udviklet talentfulde specialister inden for blandt andet performance-test og testautomation. I de kommende år ønsker Itera at fokusere på sikkerhed og sikkerhedstest. Sikkerhedstest er allerede et produkt, som Itera tilbyder gennem kontoret i Ukraine, men nu vil ekspertisen blive videreudviklet. At være en del af Iteras engagement i sikkerhedstest i Norge var meget tiltalende for mig som nyuddannet.

 

Hvad er sikkerhedstest?

Formålet med sikkerhedstesting er at opdage sårbarheder i et system og bestemme, om information og ressourcer er tilstrækkeligt beskyttet mod potentielle angribere. Det vil aldrig være muligt at garantere, at et system er 100% beskyttet mod angreb - mennesker begår fejl - men med de rigtige værktøjer og ekspertise kan du sige noget om sandsynligheden og konsekvensen af ​​forskellige risici. Sikkerhedstests introduceres for at identificere risici og sårbarheder, før de potentielt udnyttes, og for at give grundlaget for at prioritere nødvendige foranstaltninger til at afbøde eksisterende sårbarheder. Sikkerhedstests kan udføres på forskellige niveauer: i infrastrukturen i et system ved at undersøge netværk og firewall-konfigurationer, på softwareniveau ved at trænge ind i applikationen og på organisatorisk niveau ved at undersøge sikkerhedsrutiner for virksomheden og medarbejdernes kompetence.

 

Hvordan udføres sikkerhedstest?

For at udføre en sikkerhedstest i praksis vil det være naturligt at starte fra de mest almindelige trusler mod et system. For webapplikationer er OWASP top 10 et fornuftigt sted at starte. Open Web Application Security Project (OWASP) er en international non-profit organisation dedikeret til webapplikationssikkerhed, der regelmæssigt offentliggør en rapport, der adresserer de 10 mest kritiske risici, som webapplikationer udsættes for. Som sikkerhedstester er det nødvendigt at være opmærksom på de sårbarheder, en applikation står overfor, og hvordan man undersøger, om sårbarhederne findes i den applikation, der skal testes.

Det mest almindelige angreb mod en webapplikation er SQL Injection. SQL Injection er et angreb, der udnytter de felter, hvor brugeren kan indtaste data på en webside. Angrebet er muligt, hvis dataene fra brugeren ikke er valideret godt nok, før de videresendes til systemet. For eksempel kan et websted gøre at hvis du indtaster dit medarbejdernummer, får du den adresse, telefonnummer og e-mail, der er knyttet til dit medarbejdernummer. Overført til SQL-forespørgsel kan det se sådan ud: VÆLG * FRA brugere WHERE medarbejder_id = 'input fra bruger'.

En sikkerhedstester vil forsøge at manipulere SQL-forespørgslen til at køre ondsindet SQL-kode i stedet for at indsende et almindeligt tekstparameter for at hente oplysninger fra databasen. Ved at indtaste logiske udtryk, der bruges af SQL-databaser, kan en angriber forsøge at udføre opkald gennem det felt, der er beregnet til almindelig brugerinput. Et simpelt angreb for at kontrollere valideringen af ​​webstedet er at indtaste userInput = 1234567 eller 1 = 1. Sidstnævnte kan køres som SAND, hvis der ikke anvendes nogen validering. Websitet vil således give alle oplysninger om alle ansatte til én person, der ikke burde have haft de oplysninger. Der er mange variationer af SQL -injektionsangreb, nogle mere komplicerede end andre. Et nyttigt tip til at øve forskellige angreb med forskellige vanskeligheder (lovligt) er at downloade OWASPs egen penetrationsprøvningssandkasse, WebGoat, som består af en server og en sårbar applikation med forskellige opgaver. Gennem et uddannelsesmæssigt trinprogram og nyttige tip kan man øge viden om de mest kritiske sårbarheder ved at udføre etisk hacking i praksis i et sikkert miljø.

 

Sikkerhedstest i Itera

I udbudsprocesser, hvor det er relevant, informerer Itera om muligheden for sikkerhedstest. Sikkerhedsafprøvning er passende i projekter, hvor der er risiko for tab af økonomiske eller personlige oplysninger, omdømmeskade eller andre tab for kundens virksomhed. Formen for sikkerhedstesting afhænger af den anvendte projekttype. Itera tilbyder både integreret sikkerhedstest som en del af softwareudvikling, hvor komponenter testes i overensstemmelse med udviklingen. En uafhængig sikkerhedstest er klar til produktion. Itera-anbefalingen er at investere i integrerede sikkerhedstests for at opdage sårbarheder på et tidligt tidspunkt og således reducere omkostningerne ved tætning af hullerne.