Mudanças entre as edições de "Transporte 1.1.1.21"
De MSTECH wiki
(→Resultado dos testes) |
(→Testes Realizados) |
||
| Linha 116: | Linha 116: | ||
|OTG-SESS-002 | |OTG-SESS-002 | ||
|Ok | |Ok | ||
| + | |- | ||
| + | |Testing for Session Fixation | ||
| + | |OTG-SESS-003 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for Exposed Session Variables | ||
| + | |OTG-SESS-004 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for CSRF | ||
| + | |OTG-SESS-005 | ||
| + | |F | ||
| + | |- | ||
| + | |Testing for logout functionality | ||
| + | |OTG-SESS-006 | ||
| + | |F | ||
| + | |- | ||
| + | |Testing for Session Timeout | ||
| + | |OTG-SESS-007 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for Session puzzling | ||
| + | |OTG-SESS-008 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for Reflected Cross site scripting | ||
| + | |OTG-INPVAL-001 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for Stored Cross site scripting | ||
| + | |OTG-INPVAL-002 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for HTTP Verb Tampering | ||
| + | |OTG-INPVAL-003 | ||
| + | |na | ||
| + | |- | ||
| + | |Testing for HTTP Parameter pollution | ||
| + | |OTG-INPVAL-004 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for SQL Injection | ||
| + | |OTG-INPVAL-005 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for LDAP Injection | ||
| + | |OTG-INPVAL-006 | ||
| + | |na | ||
| + | |- | ||
| + | |Testing for XML Injection | ||
| + | |OTG-INPVAL-008 | ||
| + | |na | ||
| + | |- | ||
| + | |Testing for SSI Injection | ||
| + | |OTG-INPVAL-009 | ||
| + | |na | ||
| + | |- | ||
| + | |Testing for XPath Injection | ||
| + | |OTG-INPVAL-010 | ||
| + | |na | ||
| + | |- | ||
| + | |Testing for IMAP/SMTP Injection | ||
| + | |OTG-INPVAL-011 | ||
| + | |na | ||
| + | |- | ||
| + | |Testing for Code Injection | ||
| + | |OTG-INPVAL-012 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for Command Injection | ||
| + | |OTG-INPVAL-013 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for Buffer Overflow | ||
| + | |OTG-INPVAL-014 | ||
| + | |na | ||
| + | |- | ||
| + | |Testing for Incubated Vulnerability | ||
| + | |OTG-INPVAL-015 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for HTTP Splitting/Smuggling | ||
| + | |OTG-INPVAL-016 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for Information Disclosure | ||
| + | |OTG-ERR-001, OTG-ERR-002 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for Weak SSL/TLS Ciphers, Insufficient Transport Layer Protection | ||
| + | |OTG-CRYPST-001 | ||
| + | |na | ||
| + | |- | ||
| + | |Testing for Padding Oracle | ||
| + | |OTG-CRYPST-002 | ||
| + | |na | ||
| + | |- | ||
| + | |Testing for Sensitive information sent via unencrypted channels | ||
| + | |OTG-CRYPST-003 | ||
| + | |na | ||
| + | |- | ||
| + | |Tests of business logic | ||
| + | |OTG-BUSLOGIC-001..009 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for DOM-based Cross site scripting | ||
| + | |OTG-CLIENT-001 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for JavaScript Execution | ||
| + | |OTG-CLIENT-002 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for HTML Injection | ||
| + | |OTG-CLIENT-003 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for Client Side URL Redirect | ||
| + | |OTG-CLIENT-004 | ||
| + | |F | ||
| + | |- | ||
| + | |Testing for CSS Injection | ||
| + | |OTG-CLIENT-005 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for Client Side Resource Manipulation | ||
| + | |OTG-CLIENT-006 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Test Cross Origin Resource Sharing | ||
| + | |OTG-CLIENT-007 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for Cross site flashing | ||
| + | |OTG-CLIENT-008 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing for Clickjacking | ||
| + | |OTG-CLIENT-009 | ||
| + | |Ok | ||
| + | |- | ||
| + | |Testing WebSockets | ||
| + | |OTG-CLIENT-010 | ||
| + | |na | ||
| + | |- | ||
| + | |Test Web Messaging | ||
| + | |OTG-CLIENT-011 | ||
| + | |na | ||
| + | |- | ||
| + | |Test Local Storage | ||
| + | |OTG-CLIENT-012 | ||
| + | |na | ||
|} | |} | ||
Edição das 19h54min de 22 de junho de 2016
Índice
Sistemas Verificados
- Transporte Escolar, versão 1.1.1.21
- Transporte Escolar Api, versão 1.0.0.0
Verificação de Segurança
Testes Realizados
| Teste | Referência OWASP | Resultado |
|---|---|---|
| Review Webpage Comments and Metadata for Information Leakage | OTG-INFO-005 | Ok |
| Test Application Platform Configuration | OTG-CONFIG-002 | na |
| Test File Extensions Handling for Sensitive Information | OTG-CONFIG-003 | Ok |
| Review Old, Backup and Unreferenced Files for Sensitive Information | OTG-CONFIG-004 | F |
| Test HTTP Methods | OTG-CONFIG-006 | na |
| Test HTTP Strict Transport Security | OTG-CONFIG-007 | F |
| Test RIA cross domain policy | OTG-CONFIG-008 | na |
| Test Role Definitions | OTG-IDENT-001 | na |
| Test User Registration Process | OTG-IDENT-002 | na |
| Test Account Provisioning Process | OTG-IDENT-003 | na |
| Testing for Account Enumeration and Guessable User Account | OTG-IDENT-004 | Ok |
| Testing for Credentials Transported over an Encrypted Channel | OTG-AUTHN-001 | F |
| Testing for default credentials | OTG-AUTHN-002 | Ok |
| Testing for Weak lock out mechanism | OTG-AUTHN-003 | na |
| Testing for Bypassing Authentication Schema | OTG-AUTHN-004 | Ok |
| Testing for Vulnerable Remember Password | OTG-AUTHN-005 | na |
| Testing for Browser cache weakness | OTG-AUTHN-006 | Ok |
| Testing for Weak password policy | OTG-AUTHN-007 | na |
| Testing for weak password change or reset functionalities | OTG-AUTHN-009 | na |
| Testing for Weaker authentication in alternative channel | OTG-AUTHN-010 | na |
| Testing Directory traversal/file include | OTG-AUTHZ-001 | Ok |
| Testing for Bypassing Authorization Schema | OTG-AUTHZ-002 | F |
| Testing for Privilege escalation | OTG-AUTHZ-003 | Ok |
| Testing for Insecure Direct Object References | OTG-AUTHZ-004 | F |
| Testing for Session Management Schema | OTG-SESS-001 | F |
| Testing for cookies attributes | OTG-SESS-002 | Ok |
| Testing for Session Fixation | OTG-SESS-003 | Ok |
| Testing for Exposed Session Variables | OTG-SESS-004 | Ok |
| Testing for CSRF | OTG-SESS-005 | F |
| Testing for logout functionality | OTG-SESS-006 | F |
| Testing for Session Timeout | OTG-SESS-007 | Ok |
| Testing for Session puzzling | OTG-SESS-008 | Ok |
| Testing for Reflected Cross site scripting | OTG-INPVAL-001 | Ok |
| Testing for Stored Cross site scripting | OTG-INPVAL-002 | Ok |
| Testing for HTTP Verb Tampering | OTG-INPVAL-003 | na |
| Testing for HTTP Parameter pollution | OTG-INPVAL-004 | Ok |
| Testing for SQL Injection | OTG-INPVAL-005 | Ok |
| Testing for LDAP Injection | OTG-INPVAL-006 | na |
| Testing for XML Injection | OTG-INPVAL-008 | na |
| Testing for SSI Injection | OTG-INPVAL-009 | na |
| Testing for XPath Injection | OTG-INPVAL-010 | na |
| Testing for IMAP/SMTP Injection | OTG-INPVAL-011 | na |
| Testing for Code Injection | OTG-INPVAL-012 | Ok |
| Testing for Command Injection | OTG-INPVAL-013 | Ok |
| Testing for Buffer Overflow | OTG-INPVAL-014 | na |
| Testing for Incubated Vulnerability | OTG-INPVAL-015 | Ok |
| Testing for HTTP Splitting/Smuggling | OTG-INPVAL-016 | Ok |
| Testing for Information Disclosure | OTG-ERR-001, OTG-ERR-002 | Ok |
| Testing for Weak SSL/TLS Ciphers, Insufficient Transport Layer Protection | OTG-CRYPST-001 | na |
| Testing for Padding Oracle | OTG-CRYPST-002 | na |
| Testing for Sensitive information sent via unencrypted channels | OTG-CRYPST-003 | na |
| Tests of business logic | OTG-BUSLOGIC-001..009 | Ok |
| Testing for DOM-based Cross site scripting | OTG-CLIENT-001 | Ok |
| Testing for JavaScript Execution | OTG-CLIENT-002 | Ok |
| Testing for HTML Injection | OTG-CLIENT-003 | Ok |
| Testing for Client Side URL Redirect | OTG-CLIENT-004 | F |
| Testing for CSS Injection | OTG-CLIENT-005 | Ok |
| Testing for Client Side Resource Manipulation | OTG-CLIENT-006 | Ok |
| Test Cross Origin Resource Sharing | OTG-CLIENT-007 | Ok |
| Testing for Cross site flashing | OTG-CLIENT-008 | Ok |
| Testing for Clickjacking | OTG-CLIENT-009 | Ok |
| Testing WebSockets | OTG-CLIENT-010 | na |
| Test Web Messaging | OTG-CLIENT-011 | na |
| Test Local Storage | OTG-CLIENT-012 | na |
Resultados
Verificação de Desempenho
Observações sobre o teste
O CoreSSO utilizado inicialmente para os teste foi o indicado pela equipe do Transportes, copiado do TS-IIS02 e TS-BD. Contudo, o CoreSSO, apresentou problemas, dentre eles o não cadastro da tabela de layout padrão, gerando diversos erros. Desta forma, substituímos o banco e o site por outra versão indicada pela equipe do CoreSSO na época.
Vale ressaltar que o sistema conforme indicação da equipe do Transporte suportaria, em seu limite, o acesso simultâneo de 200 usuário com uma alta taxa de erro no momento de acesso ao sistema TransporteEscolar, tornando necessário a verificação e ajuste do SAML.
Cenário de uso
| Cenário de uso #1 | |||||
|---|---|---|---|---|---|
| Ação realizada | Think Time (segundos) | ||||
| 1 - Acessar tela de login | 3 | ||||
| 1 - Realizar login | 7 | ||||
| 1 - Selecionar sistema Transporte Escolar | 5 | ||||
| 2 - Acessar tela de consulta de veículos | 5 | ||||
| 2 - Preencher aba "Documentação" | 20 | ||||
| 2 - Preencher aba "Aquisição" | 7 | ||||
| 2 - Preencher aba "Condutor" | 38 | ||||
| 2 - Preencher aba "Peças e acessórios" | 25 | ||||
| 2 - Preencher aba "Despesas" | 15 | ||||
| 2 - Salvar cadastro | 5 | ||||
| 3 - Logout | 5 | ||||
Resultado dos testes
Nesta seção serão apresentados os resultados obtidos da execução dos testes.
- Porcentagem de tempo do processador
- Descrição: Mede a saturação do processador e mostra a quantidade de tempo despendida para processar as threads por todas as CPUs.
- Limite recomendado: Abaixo de 75 %.
- Porcentagem de memória utilizada
- Descrição: Indica a porcentagem de memória utilizada para uso dos processos.
- Limite recomendado: Abaixo de 75 %.
- Kbytes totais pela interface de rede
- Descrição: Indica quantos Bbytes foram enviados e recebidos a cada segundo pela interface de rede.
- Limite recomendado: Menor que 5 Mbytes para uma rede de 100Mbps, menor que 50 Mbytes para uma rede de 1000 Mbps. (Quanto menor melhor)
- Tempo médio de resposta das requisições
- Descrição: Indica o tempo médio de resposta das requisições.
- Limite recomendado: 5 segundos.
- Tempo de vazão
- Descrição: Indica a quantidade total de request por segundo.
- Limite recomendado: Quanto maior melhor.
