Mudanças entre as edições de "Verificação de segurança e desempenho"
(Limpou toda a página) |
|||
Linha 1: | Linha 1: | ||
+ | O objetivo da '''verificação de segurança e desempenho''' é analisar através dos testes não funcionais dois dos principais requisitos não funcionais que podem afetar de forma drástica a estabilidade e a qualidade das nossas entregas, sendo de extrema importância na obtenção de um diagnóstico cada vez mais preciso nas ações de melhoria contínua e na garantia da qualidade dos nossos produtos. | ||
+ | '''Pré-requisitos para execução dos testes não funcionais de segurança e desempenho''' | ||
+ | |||
+ | 1-Providenciar a publicação do sistema/aplicação, com a última versão estável, em ambiente de teste administrado pelo DevOps; | ||
+ | 2-Definir o escopo do teste de segurança e desempenho; | ||
+ | 3-Descrição resumida das funcionalidades do sistema/aplicação,considerar também as funcionalidades mais críticas (que diferenciam e destacam o produto); | ||
+ | 4-Informação da existência de problemas de segurança e desempenho conhecidos no sistema/aplicação; | ||
+ | 5-Definir as permissões por nível de usuário para as principais funcionalidades e ativos do sistema(lista de credenciais ativas(usuário e senha)com pelo menos um usuário para cada nível de permissão. | ||
+ | |||
+ | '''Verificação de segurança''' | ||
+ | |||
+ | A verificação de segurança consiste identificar vulnerabilidades, classifica-las e indicar estratégias de mitigação para estas. É realizada uma análise ativa na qual são simulados ataques a um determinado sistema, identificando vulnerabilidades que podem ser exploradas em um ataque real. | ||
+ | |||
+ | Uma '''vulnerabilidade''' é uma falha ou fraqueza no design, implementação, operação ou gerenciamento de um sistema que pode ser explorada a fim de violar a política de segurança do mesmo. Uma '''ameaça''' é um ataque em potencial que, explorando uma vulnerabilidade, pode comprometer os ativos de uma aplicação (recursos, dados, funcionalidades). | ||
+ | |||
+ | Esse processo, conhecido como ''"Vulnerability Assessment"'', deve ser executado em uma versão estável do sistema, após a etapa de desenvolvimento. Primeiramente o sistema é submetido a scanners de vulnerabilidades automáticos. As vulnerabilidades encontradas pelos scripts automáticos são então verificadas, para eliminar falsos positivos. | ||
+ | |||
+ | Após o processo automático, o sistema é verificado manualmente por vulnerabilidades de detecção mais difícil, seguindo as diretrizes [https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents] | ||
+ | |||
+ | '''Ferramentas Utilizadas''' | ||
+ | |||
+ | '''Ferramentas de Proxy web''' (WebScarab,CAT,OWASP ZAP,Paros) | ||
+ | '''Scanners de vulnerabilidades automatizados''' (WCSA,OWASP ZAP,N-Stalker,Web Securify,Microsoft WACA,W3AF,VEGA) | ||
+ | '''Sniffers''' (Wireshark,Ettercap) | ||
+ | '''Gerador de pacotes e requisições HTTP''' (Engage Packet Builder,WebScarab,CAT) |
Edição das 21h01min de 14 de junho de 2016
O objetivo da verificação de segurança e desempenho é analisar através dos testes não funcionais dois dos principais requisitos não funcionais que podem afetar de forma drástica a estabilidade e a qualidade das nossas entregas, sendo de extrema importância na obtenção de um diagnóstico cada vez mais preciso nas ações de melhoria contínua e na garantia da qualidade dos nossos produtos.
Pré-requisitos para execução dos testes não funcionais de segurança e desempenho
1-Providenciar a publicação do sistema/aplicação, com a última versão estável, em ambiente de teste administrado pelo DevOps; 2-Definir o escopo do teste de segurança e desempenho; 3-Descrição resumida das funcionalidades do sistema/aplicação,considerar também as funcionalidades mais críticas (que diferenciam e destacam o produto); 4-Informação da existência de problemas de segurança e desempenho conhecidos no sistema/aplicação; 5-Definir as permissões por nível de usuário para as principais funcionalidades e ativos do sistema(lista de credenciais ativas(usuário e senha)com pelo menos um usuário para cada nível de permissão.
Verificação de segurança
A verificação de segurança consiste identificar vulnerabilidades, classifica-las e indicar estratégias de mitigação para estas. É realizada uma análise ativa na qual são simulados ataques a um determinado sistema, identificando vulnerabilidades que podem ser exploradas em um ataque real.
Uma vulnerabilidade é uma falha ou fraqueza no design, implementação, operação ou gerenciamento de um sistema que pode ser explorada a fim de violar a política de segurança do mesmo. Uma ameaça é um ataque em potencial que, explorando uma vulnerabilidade, pode comprometer os ativos de uma aplicação (recursos, dados, funcionalidades).
Esse processo, conhecido como "Vulnerability Assessment", deve ser executado em uma versão estável do sistema, após a etapa de desenvolvimento. Primeiramente o sistema é submetido a scanners de vulnerabilidades automáticos. As vulnerabilidades encontradas pelos scripts automáticos são então verificadas, para eliminar falsos positivos.
Após o processo automático, o sistema é verificado manualmente por vulnerabilidades de detecção mais difícil, seguindo as diretrizes [1]
Ferramentas Utilizadas
Ferramentas de Proxy web (WebScarab,CAT,OWASP ZAP,Paros) Scanners de vulnerabilidades automatizados (WCSA,OWASP ZAP,N-Stalker,Web Securify,Microsoft WACA,W3AF,VEGA) Sniffers (Wireshark,Ettercap) Gerador de pacotes e requisições HTTP (Engage Packet Builder,WebScarab,CAT)