Metodyki testowania bezpieczeństwa aplikacji internetowych

Antczak, M.; Świerczyński, Z.

Artykuł - szczegóły

Tytuł artykułu

Metodyki testowania bezpieczeństwa aplikacji internetowych

Autorzy

Antczak M. , Świerczyński Z.

Treść / Zawartość

Pełne teksty:

Pobierz

Identyfikatory

Warianty tytułu

Testing of internet applications security

Języki publikacji

Abstrakty

Artykuł stanowi wprowadzenie do problematyki testów bezpieczeństwa aplikacji internetowych. Przedstawiono w nim główne cele stawiane testom bezpieczeństwa tego typu aplikacji. Zasygnalizowano obszary związane z najczęściej występującymi podatnościami aplikacji WWW oraz ogólne sposoby ich identyfikacji. Dokonano ogólnego przeglądu oraz próby porównania dostępnych metodyk testowania bezpieczeństwa aplikacji internetowych. Przy tej okazji wskazano niedoskonałości istniejących metodyk, tym samym uzasadniając celowość dalszych prac w zakresie opracowania spójnej i kompletnej metodyki testowania aplikacji internetowej wspieranej przez odpowiednio dobrane narzędzia aplikacyjne.

The paper provides an introduction to the issue of web application security testing. Main goals for security tests and known types of tests divided into categories are presented. Areas related to web application vulnerabilities and general methods to identify web application security errors are indicated. A supplementation of nomenclature associated with web application vulnerabilities is presented. A general overview of available security testing methodologies for web applications is given.

Słowa kluczowe

bezpieczeństwo aplikacji internetowych testy bezpieczeństwa błędy bezpieczeństwa metodyka testów bezpieczeństwa testy penetracyjne atrybut bezpieczeństwa

internet applications security security testing security vulnerabilities methodology of security testing penetration test security attributes

Wydawca

Instytut Teleinformatyki i Automatyki, Wydział Cybernetyki, Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

Czasopismo

Przegląd Teleinformatyczny

Rocznik

2013

Tom

T. 1, Nr 2 (20)

Strony

13--38

Opis fizyczny

Bibliogr. 27 poz., il., tab., wykr.

Twórcy

autor

Antczak M.

marek.antczak@gmail.com

Instytut Teleinformatyki i Automatyki WAT, ul. Gen. S. Kaliskiego 2, 00-908 Warszawa

autor

Świerczyński Z.

z.swierczynski@ita.wat.edu.pl

Instytut Teleinformatyki i Automatyki WAT, ul. Gen. S. Kaliskiego 2, 00-908 Warszawa

Bibliografia

[1] Antczak M., Metodyka oraz dedykowany system służący do wykonywania testów bezpieczeństwa aplikacji internetowych (WWW), praca magisterska, Wojskowa Akademia Techniczna, 2012.
[2] Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwa Naukowo-Techniczne, Warszawa, 2007.
[3] Hope P., Walter B., Testowanie bezpieczeństwa aplikacji internetowych. Receptury, Helion, Gliwice, 2010.
[4] Liderman K., Podręcznik administratora bezpieczeństwa teleinformatycznego, Mikom, Warszawa, 2003.
[5] Norma ISO 15408, Common Criteria.
[6] Patkowski A. E., Metodyka P-PEN przeprowadzania testów penetracyjnych systemów teleinformatycznych, „Biuletyn Instytutu Automatyki i Robotyki” nr 24/2007, Wojskowa Akademia Techniczna, 2007.
[7] Polska Norma PN-ISO/IEC 11799:2007.
[8] Polska Norma PN-ISO/IEC 27001:2007.
[9] Portal Wikipedia [online]. Red team - Wikipedia, the free encyclopedia, 2012, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://en.wikipedia.org/wiki/Red_team.
[10] Portal Wikipedia [online]. Tiger team - Wikipedia, the free encyclopedia, 2012, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://en.wikipedia.org/wiki/Tiger_team.
[11] Portal Wikipedia [online]. „Webmail - Wikipedia, wolna encyklopedia”, 2012, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://pl.wikipedia.org/wiki/Webmail.
[12] Schwaber K., Sutherland J., The Scrum Guide, wersja polska. [dostęp: 19-10-2012]. Dostępna w Internecie: http://www.scrum.org/Scrum-Guides.
[13] Sillitti A., Wang X., Martin A., Whitworth E., Agile Processes in Software Engineering and Extreme Programming, 11th International Conference, XP 2010, Trondheim, Norway, June 1-4, 2010, Proceedings, pp. 14-26, Springer, 2010.
[14] Standard BS 7000-1:2008, Design management systems. Guide to managing innovation, wyd. BSI, Wielka Brytania, 2008.
[15] Strona Agile Methodology [online]. Development Methodologies | What Is Agile Methodology, 2008, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://agilemethodology.org/.
[16] Strona CERT.GOV.PL [online]. Raport z działalności zespołu CERT.GOV.PL za II kwartał 2012 roku, 2012, [dostęp: 08-10-2012]. Dostępny w Internecie: http://www.cert.gov.pl/portal/cer/56/561/Raport_z_dzialalnosci_zespolu_CERTGOVPL_za_II_kwartal_2012.html.
[17] Strona Common Weakness Enumeration [online]. 2011 CWE/SANS Top 25 Most Dangerous Software Errors. Appendix D: Comparison to OWASP Top Ten 2010, 2012, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://cwe.mitre.org/top25/#AppendixD.
[18] Strona Common Weakness Enumeration [online]. 2011 CWE/SANS Top 25 Most Dangerous Software Errors - wersja z 13 września 2011 roku, [dostęp: 08-10-2012]. Dostępny w sieci Internet: http://cwe.mitre.org/top25/.
[19] Strona ISECOM [online], Pete Herzog, OSSTMM 3. The Open Source Security Testing Methodology manual, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://www.isecom.org/mirror/OSSTMM.3.pdf.
[20] Strona Norwegian University of Science and Technology [online]. Computer and Information Science, Department of Computer and Information Science, 2002, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://www.idi.ntnu.no/grupper/su/publ/ese/ieee-se-glossary-610.12-1990.pdf, p. 62.
[21] Strona OWASP Foundation © 2011 [online]. Category: OWASP Testing Project, 2011, [dostęp: 09-10-2012]. Dostępny w sieci Internet: https://www.owasp.org/index.php/OWASP_Testing_Project.
[22] Strona OWASP Foundation © 2011 [online]. Category: OWASP Project- OWASP, 2011, [dostęp: 09-10-2012]. Dostępny w sieci Internet: https://www.owasp.org/index.php/Category:OWASP_Project.
[23] Strona OWASP Foundation © 2011 [online]. Category: OWASP Top Ten Project, 2011, [dostęp: 09-10-2012]. Dostępny w sieci Internet: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project.
[24] Strona Scrum Methodology [online]. Scrum Phases overview, 2009, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://www.scrummethodology.org/scrum-phases.html.
[25] Strona The Web Application Security Consortium / Threat Classification [online]. WASC Threat Classification online, 2011, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://projects.webappsec.org/w/page/13246978/Threat%20Classification.
[26] Strona University of Calgary [online], Electrical Engineering. A. Tappenden, P. Beatty, J. Miller , A. Geras, M. Smith, Agile Security Testing of Web-Based Systems via HTTPUnit, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://enel.ucalgary.ca/People/Smith/2008webs/encm515_08/08ReferenceMaterial/Agile%20Security%20Testing%20Miller%20Smith.pdf.
[27] Subieta K., Wprowadzenie do inżynierii oprogramowania, PJWSTK, Warszawa, 2002.

Typ dokumentu

Bibliografia

Identyfikator YADDA

bwmeta1.element.baztech-ff5e23a7-5600-40dc-9280-0a37f9ac4fcb