Identyfikatory
Warianty tytułu
Testing of internet applications security
Języki publikacji
Abstrakty
Artykuł stanowi wprowadzenie do problematyki testów bezpieczeństwa aplikacji internetowych. Przedstawiono w nim główne cele stawiane testom bezpieczeństwa tego typu aplikacji. Zasygnalizowano obszary związane z najczęściej występującymi podatnościami aplikacji WWW oraz ogólne sposoby ich identyfikacji. Dokonano ogólnego przeglądu oraz próby porównania dostępnych metodyk testowania bezpieczeństwa aplikacji internetowych. Przy tej okazji wskazano niedoskonałości istniejących metodyk, tym samym uzasadniając celowość dalszych prac w zakresie opracowania spójnej i kompletnej metodyki testowania aplikacji internetowej wspieranej przez odpowiednio dobrane narzędzia aplikacyjne.
The paper provides an introduction to the issue of web application security testing. Main goals for security tests and known types of tests divided into categories are presented. Areas related to web application vulnerabilities and general methods to identify web application security errors are indicated. A supplementation of nomenclature associated with web application vulnerabilities is presented. A general overview of available security testing methodologies for web applications is given.
Słowa kluczowe
Czasopismo
Rocznik
Tom
Strony
13--38
Opis fizyczny
Bibliogr. 27 poz., il., tab., wykr.
Twórcy
autor
- Instytut Teleinformatyki i Automatyki WAT, ul. Gen. S. Kaliskiego 2, 00-908 Warszawa
autor
- Instytut Teleinformatyki i Automatyki WAT, ul. Gen. S. Kaliskiego 2, 00-908 Warszawa
Bibliografia
- [1] Antczak M., Metodyka oraz dedykowany system służący do wykonywania testów bezpieczeństwa aplikacji internetowych (WWW), praca magisterska, Wojskowa Akademia Techniczna, 2012.
- [2] Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwa Naukowo-Techniczne, Warszawa, 2007.
- [3] Hope P., Walter B., Testowanie bezpieczeństwa aplikacji internetowych. Receptury, Helion, Gliwice, 2010.
- [4] Liderman K., Podręcznik administratora bezpieczeństwa teleinformatycznego, Mikom, Warszawa, 2003.
- [5] Norma ISO 15408, Common Criteria.
- [6] Patkowski A. E., Metodyka P-PEN przeprowadzania testów penetracyjnych systemów teleinformatycznych, „Biuletyn Instytutu Automatyki i Robotyki” nr 24/2007, Wojskowa Akademia Techniczna, 2007.
- [7] Polska Norma PN-ISO/IEC 11799:2007.
- [8] Polska Norma PN-ISO/IEC 27001:2007.
- [9] Portal Wikipedia [online]. Red team - Wikipedia, the free encyclopedia, 2012, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://en.wikipedia.org/wiki/Red_team.
- [10] Portal Wikipedia [online]. Tiger team - Wikipedia, the free encyclopedia, 2012, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://en.wikipedia.org/wiki/Tiger_team.
- [11] Portal Wikipedia [online]. „Webmail - Wikipedia, wolna encyklopedia”, 2012, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://pl.wikipedia.org/wiki/Webmail.
- [12] Schwaber K., Sutherland J., The Scrum Guide, wersja polska. [dostęp: 19-10-2012]. Dostępna w Internecie: http://www.scrum.org/Scrum-Guides.
- [13] Sillitti A., Wang X., Martin A., Whitworth E., Agile Processes in Software Engineering and Extreme Programming, 11th International Conference, XP 2010, Trondheim, Norway, June 1-4, 2010, Proceedings, pp. 14-26, Springer, 2010.
- [14] Standard BS 7000-1:2008, Design management systems. Guide to managing innovation, wyd. BSI, Wielka Brytania, 2008.
- [15] Strona Agile Methodology [online]. Development Methodologies | What Is Agile Methodology, 2008, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://agilemethodology.org/.
- [16] Strona CERT.GOV.PL [online]. Raport z działalności zespołu CERT.GOV.PL za II kwartał 2012 roku, 2012, [dostęp: 08-10-2012]. Dostępny w Internecie: http://www.cert.gov.pl/portal/cer/56/561/Raport_z_dzialalnosci_zespolu_CERTGOVPL_za_II_kwartal_2012.html.
- [17] Strona Common Weakness Enumeration [online]. 2011 CWE/SANS Top 25 Most Dangerous Software Errors. Appendix D: Comparison to OWASP Top Ten 2010, 2012, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://cwe.mitre.org/top25/#AppendixD.
- [18] Strona Common Weakness Enumeration [online]. 2011 CWE/SANS Top 25 Most Dangerous Software Errors - wersja z 13 września 2011 roku, [dostęp: 08-10-2012]. Dostępny w sieci Internet: http://cwe.mitre.org/top25/.
- [19] Strona ISECOM [online], Pete Herzog, OSSTMM 3. The Open Source Security Testing Methodology manual, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://www.isecom.org/mirror/OSSTMM.3.pdf.
- [20] Strona Norwegian University of Science and Technology [online]. Computer and Information Science, Department of Computer and Information Science, 2002, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://www.idi.ntnu.no/grupper/su/publ/ese/ieee-se-glossary-610.12-1990.pdf, p. 62.
- [21] Strona OWASP Foundation © 2011 [online]. Category: OWASP Testing Project, 2011, [dostęp: 09-10-2012]. Dostępny w sieci Internet: https://www.owasp.org/index.php/OWASP_Testing_Project.
- [22] Strona OWASP Foundation © 2011 [online]. Category: OWASP Project- OWASP, 2011, [dostęp: 09-10-2012]. Dostępny w sieci Internet: https://www.owasp.org/index.php/Category:OWASP_Project.
- [23] Strona OWASP Foundation © 2011 [online]. Category: OWASP Top Ten Project, 2011, [dostęp: 09-10-2012]. Dostępny w sieci Internet: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project.
- [24] Strona Scrum Methodology [online]. Scrum Phases overview, 2009, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://www.scrummethodology.org/scrum-phases.html.
- [25] Strona The Web Application Security Consortium / Threat Classification [online]. WASC Threat Classification online, 2011, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://projects.webappsec.org/w/page/13246978/Threat%20Classification.
- [26] Strona University of Calgary [online], Electrical Engineering. A. Tappenden, P. Beatty, J. Miller , A. Geras, M. Smith, Agile Security Testing of Web-Based Systems via HTTPUnit, [dostęp: 09-10-2012]. Dostępny w sieci Internet: http://enel.ucalgary.ca/People/Smith/2008webs/encm515_08/08ReferenceMaterial/Agile%20Security%20Testing%20Miller%20Smith.pdf.
- [27] Subieta K., Wprowadzenie do inżynierii oprogramowania, PJWSTK, Warszawa, 2002.
Typ dokumentu
Bibliografia
Identyfikator YADDA
bwmeta1.element.baztech-ff5e23a7-5600-40dc-9280-0a37f9ac4fcb