Mudanças entre as edições de "Verificação de segurança e desempenho"
| Linha 3: | Linha 3: | ||
'''Pré-requisitos para execução dos testes não funcionais de segurança e desempenho''' | '''Pré-requisitos para execução dos testes não funcionais de segurança e desempenho''' | ||
| − | 1-Providenciar a publicação do sistema/aplicação, com a última versão estável, em ambiente de teste administrado pelo DevOps; | + | '''1-'''Providenciar a publicação do sistema/aplicação, com a última versão estável, em ambiente de teste administrado pelo DevOps; |
| − | 2-Definir o escopo do teste de segurança e desempenho; | + | '''2-'''Definir o escopo do teste de segurança e desempenho; |
| − | 3-Descrição resumida das funcionalidades do sistema/aplicação,considerar também as funcionalidades mais críticas (que diferenciam e destacam o produto); | + | '''3-'''Descrição resumida das funcionalidades do sistema/aplicação,considerar também as funcionalidades mais críticas (que diferenciam e destacam o produto); |
| − | 4-Informação da existência de problemas de segurança e desempenho conhecidos no sistema/aplicação; | + | '''4-'''Informação da existência de problemas de segurança e desempenho conhecidos no sistema/aplicação; |
| − | 5-Definir as permissões por nível de usuário para as principais funcionalidades e ativos do sistema(lista de credenciais ativas(usuário e senha)com pelo menos um usuário para cada nível de permissão. | + | '''5-'''Definir as permissões por nível de usuário para as principais funcionalidades e ativos do sistema(lista de credenciais ativas(usuário e senha)com pelo menos um usuário para cada nível de permissão. |
'''Verificação de segurança''' | '''Verificação de segurança''' | ||
| Linha 15: | Linha 15: | ||
Uma '''vulnerabilidade''' é uma falha ou fraqueza no design, implementação, operação ou gerenciamento de um sistema que pode ser explorada a fim de violar a política de segurança do mesmo. Uma '''ameaça''' é um ataque em potencial que, explorando uma vulnerabilidade, pode comprometer os ativos de uma aplicação (recursos, dados, funcionalidades). | Uma '''vulnerabilidade''' é uma falha ou fraqueza no design, implementação, operação ou gerenciamento de um sistema que pode ser explorada a fim de violar a política de segurança do mesmo. Uma '''ameaça''' é um ataque em potencial que, explorando uma vulnerabilidade, pode comprometer os ativos de uma aplicação (recursos, dados, funcionalidades). | ||
| − | Esse processo, conhecido como ''"Vulnerability Assessment"'', deve ser executado em uma versão estável do sistema, após a etapa de desenvolvimento. Primeiramente o sistema é submetido a scanners de vulnerabilidades automáticos. As vulnerabilidades encontradas pelos scripts automáticos são então verificadas, para eliminar falsos positivos. | + | Esse processo, conhecido como ''"Vulnerability Assessment"'', deve ser executado em uma versão estável do sistema, após a etapa de desenvolvimento. Primeiramente o sistema é submetido a ''scanners'' de vulnerabilidades automáticos. As vulnerabilidades encontradas pelos ''scripts'' automáticos são então verificadas, para eliminar falsos positivos. |
Após o processo automático, o sistema é verificado manualmente por vulnerabilidades de detecção mais difícil, seguindo as diretrizes [https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents] | Após o processo automático, o sistema é verificado manualmente por vulnerabilidades de detecção mais difícil, seguindo as diretrizes [https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents] | ||
| Linha 22: | Linha 22: | ||
'''Ferramentas de Proxy web''' (WebScarab,CAT,OWASP ZAP,Paros) | '''Ferramentas de Proxy web''' (WebScarab,CAT,OWASP ZAP,Paros) | ||
| − | '''Scanners de vulnerabilidades automatizados''' (WCSA,OWASP ZAP,N-Stalker,Web Securify,Microsoft WACA,W3AF,VEGA) | + | '''''Scanners'' de vulnerabilidades automatizados''' (WCSA,OWASP ZAP,N-Stalker,Web Securify,Microsoft WACA,W3AF,VEGA) |
| − | '''Sniffers''' (Wireshark,Ettercap) | + | '''''Sniffers''''' (Wireshark,Ettercap) |
| − | '''Gerador de pacotes e requisições HTTP''' (Engage Packet Builder,WebScarab,CAT) | + | '''Gerador de pacotes e requisições ''HTTP''''' (Engage Packet Builder,WebScarab,CAT) |
Edição das 21h07min de 14 de junho de 2016
O objetivo da verificação de segurança e desempenho é analisar através dos testes não funcionais dois dos principais requisitos não funcionais que podem afetar de forma drástica a estabilidade e a qualidade das nossas entregas, sendo de extrema importância na obtenção de um diagnóstico cada vez mais preciso nas ações de melhoria contínua e na garantia da qualidade dos nossos produtos.
Pré-requisitos para execução dos testes não funcionais de segurança e desempenho
1-Providenciar a publicação do sistema/aplicação, com a última versão estável, em ambiente de teste administrado pelo DevOps; 2-Definir o escopo do teste de segurança e desempenho; 3-Descrição resumida das funcionalidades do sistema/aplicação,considerar também as funcionalidades mais críticas (que diferenciam e destacam o produto); 4-Informação da existência de problemas de segurança e desempenho conhecidos no sistema/aplicação; 5-Definir as permissões por nível de usuário para as principais funcionalidades e ativos do sistema(lista de credenciais ativas(usuário e senha)com pelo menos um usuário para cada nível de permissão.
Verificação de segurança
A verificação de segurança consiste identificar vulnerabilidades, classifica-las e indicar estratégias de mitigação para estas. É realizada uma análise ativa na qual são simulados ataques a um determinado sistema, identificando vulnerabilidades que podem ser exploradas em um ataque real.
Uma vulnerabilidade é uma falha ou fraqueza no design, implementação, operação ou gerenciamento de um sistema que pode ser explorada a fim de violar a política de segurança do mesmo. Uma ameaça é um ataque em potencial que, explorando uma vulnerabilidade, pode comprometer os ativos de uma aplicação (recursos, dados, funcionalidades).
Esse processo, conhecido como "Vulnerability Assessment", deve ser executado em uma versão estável do sistema, após a etapa de desenvolvimento. Primeiramente o sistema é submetido a scanners de vulnerabilidades automáticos. As vulnerabilidades encontradas pelos scripts automáticos são então verificadas, para eliminar falsos positivos.
Após o processo automático, o sistema é verificado manualmente por vulnerabilidades de detecção mais difícil, seguindo as diretrizes [1]
Ferramentas Utilizadas
Ferramentas de Proxy web (WebScarab,CAT,OWASP ZAP,Paros) Scanners de vulnerabilidades automatizados (WCSA,OWASP ZAP,N-Stalker,Web Securify,Microsoft WACA,W3AF,VEGA) Sniffers (Wireshark,Ettercap) Gerador de pacotes e requisições HTTP (Engage Packet Builder,WebScarab,CAT)
