Mudanças entre as edições de "Transporte 1.1.1.21"

De MSTECH wiki
Ir para: navegação, pesquisa
(Testes Realizados)
(Testes Realizados)
Linha 238: Linha 238:
 
|-
 
|-
 
|Testing for CSS Injection
 
|Testing for CSS Injection
|[https://www.owasp.org/index.php/Testing_for_CSS_Injection_(OTG-CLIENT-005)OTG-CLIENT-005
+
|[https://www.owasp.org/index.php/Testing_for_CSS_Injection_(OTG-CLIENT-005) OTG-CLIENT-005]
 
|Ok
 
|Ok
 
|-
 
|-

Edição das 19h03min de 23 de junho de 2016

Sistemas Verificados

  • Transporte Escolar, versão 1.1.1.21
  • Transporte Escolar Api, versão 1.0.0.0

Verificação de Segurança

Testes Realizados

Teste Referência OWASP Resultado
Review Webpage Comments and Metadata for Information Leakage OTG-INFO-005 Ok
Test Application Platform Configuration OTG-CONFIG-002 na
Test File Extensions Handling for Sensitive Information OTG-CONFIG-003 Ok
Review Old, Backup and Unreferenced Files for Sensitive Information OTG-CONFIG-004 F
Test HTTP Methods OTG-CONFIG-006 na
Test HTTP Strict Transport Security OTG-CONFIG-007 F
Test RIA cross domain policy OTG-CONFIG-008 na
Test Role Definitions OTG-IDENT-001 na
Test User Registration Process OTG-IDENT-002 na
Test Account Provisioning Process OTG-IDENT-003 na
Testing for Account Enumeration and Guessable User Account OTG-IDENT-004 Ok
Testing for Credentials Transported over an Encrypted Channel OTG-AUTHN-001 F
Testing for default credentials OTG-AUTHN-002 Ok
Testing for Weak lock out mechanism OTG-AUTHN-003 na
Testing for Bypassing Authentication Schema OTG-AUTHN-004 Ok
Testing for Vulnerable Remember Password OTG-AUTHN-005 na
Testing for Browser cache weakness OTG-AUTHN-006 Ok
Testing for Weak password policy OTG-AUTHN-007 na
Testing for weak password change or reset functionalities OTG-AUTHN-009 na
Testing for Weaker authentication in alternative channel OTG-AUTHN-010 na
Testing Directory traversal/file include OTG-AUTHZ-001 Ok
Testing for Bypassing Authorization Schema OTG-AUTHZ-002 F
Testing for Privilege escalation OTG-AUTHZ-003 Ok
Testing for Insecure Direct Object References OTG-AUTHZ-004 F
Testing for Session Management Schema OTG-SESS-001 F
Testing for cookies attributes OTG-SESS-002 Ok
Testing for Session Fixation OTG-SESS-003 Ok
Testing for Exposed Session Variables OTG-SESS-004 Ok
Testing for CSRF OTG-SESS-005 F
Testing for logout functionality OTG-SESS-006 F
Testing for Session Timeout OTG-SESS-007 Ok
Testing for Session puzzling OTG-SESS-008 Ok
Testing for Reflected Cross site scripting OTG-INPVAL-001 Ok
Testing for Stored Cross site scripting OTG-INPVAL-002 Ok
Testing for HTTP Verb Tampering OTG-INPVAL-003 na
Testing for HTTP Parameter pollution OTG-INPVAL-004 Ok
Testing for SQL Injection OTG-INPVAL-005 Ok
Testing for LDAP Injection OTG-INPVAL-006 na
Testing for XML Injection OTG-INPVAL-008 na
Testing for SSI Injection OTG-INPVAL-009 na
Testing for XPath Injection OTG-INPVAL-010 na
Testing for IMAP/SMTP Injection OTG-INPVAL-011 na
Testing for Code Injection OTG-INPVAL-012 Ok
Testing for Command Injection OTG-INPVAL-013 Ok
Testing for Buffer Overflow OTG-INPVAL-014 na
Testing for Incubated Vulnerability OTG-INPVAL-015 Ok
Testing for HTTP Splitting/Smuggling OTG-INPVAL-016 Ok
Testing for Information Disclosure OTG-ERR-001, OTG-ERR-002 Ok
Testing for Weak SSL/TLS Ciphers, Insufficient Transport Layer Protection OTG-CRYPST-001 na
Testing for Padding Oracle OTG-CRYPST-002 na
Testing for Sensitive information sent via unencrypted channels OTG-CRYPST-003 na
Tests of business logic OTG-BUSLOGIC-001..009 Ok
Testing for DOM-based Cross site scripting OTG-CLIENT-001 Ok
Testing for JavaScript Execution OTG-CLIENT-002 Ok
Testing for HTML Injection OTG-CLIENT-003 Ok
Testing for Client Side URL Redirect OTG-CLIENT-004 F
Testing for CSS Injection OTG-CLIENT-005 Ok
Testing for Client Side Resource Manipulation OTG-CLIENT-006 Ok
Test Cross Origin Resource Sharing OTG-CLIENT-007 Ok
Testing for Cross site flashing OTG-CLIENT-008 Ok
Testing for Clickjacking OTG-CLIENT-009 Ok
Testing WebSockets OTG-CLIENT-010 na
Test Web Messaging OTG-CLIENT-011 na
Test Local Storage OTG-CLIENT-012 na

Resultados

Verificação de Desempenho

Observações sobre o teste

O CoreSSO utilizado inicialmente para os teste foi o indicado pela equipe do Transportes, copiado do TS-IIS02 e TS-BD. Contudo, o CoreSSO, apresentou problemas, dentre eles o não cadastro da tabela de layout padrão, gerando diversos erros. Desta forma, substituímos o banco e o site por outra versão indicada pela equipe do CoreSSO na época.

Vale ressaltar que o sistema conforme indicação da equipe do Transporte suportaria, em seu limite, o acesso simultâneo de 200 usuário com uma alta taxa de erro no momento de acesso ao sistema TransporteEscolar, tornando necessário a verificação e ajuste do SAML.

Cenário de uso

Cenário de uso #1
Ação realizada Think Time (segundos)
1 - Acessar tela de login 3
1 - Realizar login 7
1 - Selecionar sistema Transporte Escolar 5
2 - Acessar tela de consulta de veículos 5
2 - Preencher aba "Documentação" 20
2 - Preencher aba "Aquisição" 7
2 - Preencher aba "Condutor" 38
2 - Preencher aba "Peças e acessórios" 25
2 - Preencher aba "Despesas" 15
2 - Salvar cadastro 5
3 - Logout 5

Resultado dos testes

Nesta seção serão apresentados os resultados obtidos da execução dos testes.

  • Porcentagem de tempo do processador
Descrição: Mede a saturação do processador e mostra a quantidade de tempo despendida para processar as threads por todas as CPUs.
Limite recomendado: Abaixo de 75 %.
2016-06-21 TransporteEscolar TempoDeProcessador.png


  • Porcentagem de memória utilizada
Descrição: Indica a porcentagem de memória utilizada para uso dos processos.
Limite recomendado: Abaixo de 75 %.
2016-06-21 TransporteEscolar MemoriaUtilizada.png


  • Kbytes totais pela interface de rede
Descrição: Indica quantos Bbytes foram enviados e recebidos a cada segundo pela interface de rede.
Limite recomendado: Menor que 5 Mbytes para uma rede de 100Mbps, menor que 50 Mbytes para uma rede de 1000 Mbps. (Quanto menor melhor)
2016-06-21 TransporteEscolar NetworkTotal.png


  • Tempo médio de resposta das requisições
Descrição: Indica o tempo médio de resposta das requisições.
Limite recomendado: 5 segundos.
2016-06-21 TransporteEscolar ResponseTime.png


  • Tempo de vazão
Descrição: Indica a quantidade total de request por segundo.
Limite recomendado: Quanto maior melhor.
2016-06-22 13-37-47.png
Disponível em "http://wiki.mstech.com.br/index.php?title=Transporte_1.1.1.21&oldid=787"