- Văn bản
- Lịch sử
Testing Goals and ResponsibilitiesO
Testing Goals and Responsibilities
Often, there are numerous people within an organization who influence the security concerns and operational infrastructure; these individuals make up an organization’s security team.Asecurity team may include the following: ■■ Policymakers, who define security requirements that enhance user and producer confidence in system security defenses. ■■ Network administrators, who design and implement security measures to provide security at the operational level. ■■ Software developers, who design and implement security defenses at the application level (to meet security requirements). ■■ Software testers, who are responsible for testing the systems to uncover functionality, interoperability, configuration, and compatibility errors as they are related to security implementation (primarily at the application level and perhaps at the operational level as well), and discovering potential problems introduced by security design flaws. ■■ Security experts and consultants, who help test and maintain your security programs as well as handle security breaches. Often, this group of people consists of reformed attackers-for-hire. Former attackers, who developed their domain of expertise through practice over the years, are responsible for conducting penetration tests (designed to evaluate the effectiveness of Web system defenses through the use of a combination of attack tools, security and attacking expertise, and IT knowledge) prior to the deployment of a system as well as on an ongoing basis. Unless your organization does not have an expert to handle penetration testing, it’s often not expected that a typical software tester or developer would have this responsibility. The main focus of our goals as testers should be testing the Web site and Web application security at the application level. It means that we should seek out vulnerabilities and information leaks caused primarily by programming practice and, to a certain extent, by misconfiguration of Web servers and other application-specific servers. We should test for the security side effects or vulnerabilities caused by the functionality implementation. At the same time, we should also test for functional side effects caused by security implementation (see Figures 18.10 and 18.11).
Functionality Side Effect: An Error-Handling Bug Example Applications often are not aware of the actual causes of failure conditions they experience. Errors may be due to session time-outs, absence of available disk
Often, there are numerous people within an organization who influence the security concerns and operational infrastructure; these individuals make up an organization’s security team.Asecurity team may include the following: ■■ Policymakers, who define security requirements that enhance user and producer confidence in system security defenses. ■■ Network administrators, who design and implement security measures to provide security at the operational level. ■■ Software developers, who design and implement security defenses at the application level (to meet security requirements). ■■ Software testers, who are responsible for testing the systems to uncover functionality, interoperability, configuration, and compatibility errors as they are related to security implementation (primarily at the application level and perhaps at the operational level as well), and discovering potential problems introduced by security design flaws. ■■ Security experts and consultants, who help test and maintain your security programs as well as handle security breaches. Often, this group of people consists of reformed attackers-for-hire. Former attackers, who developed their domain of expertise through practice over the years, are responsible for conducting penetration tests (designed to evaluate the effectiveness of Web system defenses through the use of a combination of attack tools, security and attacking expertise, and IT knowledge) prior to the deployment of a system as well as on an ongoing basis. Unless your organization does not have an expert to handle penetration testing, it’s often not expected that a typical software tester or developer would have this responsibility. The main focus of our goals as testers should be testing the Web site and Web application security at the application level. It means that we should seek out vulnerabilities and information leaks caused primarily by programming practice and, to a certain extent, by misconfiguration of Web servers and other application-specific servers. We should test for the security side effects or vulnerabilities caused by the functionality implementation. At the same time, we should also test for functional side effects caused by security implementation (see Figures 18.10 and 18.11).
Functionality Side Effect: An Error-Handling Bug Example Applications often are not aware of the actual causes of failure conditions they experience. Errors may be due to session time-outs, absence of available disk
0/5000
Kiểm tra mục tiêu và trách nhiệmOften, there are numerous people within an organization who influence the security concerns and operational infrastructure; these individuals make up an organization’s security team.Asecurity team may include the following: ■■ Policymakers, who define security requirements that enhance user and producer confidence in system security defenses. ■■ Network administrators, who design and implement security measures to provide security at the operational level. ■■ Software developers, who design and implement security defenses at the application level (to meet security requirements). ■■ Software testers, who are responsible for testing the systems to uncover functionality, interoperability, configuration, and compatibility errors as they are related to security implementation (primarily at the application level and perhaps at the operational level as well), and discovering potential problems introduced by security design flaws. ■■ Security experts and consultants, who help test and maintain your security programs as well as handle security breaches. Often, this group of people consists of reformed attackers-for-hire. Former attackers, who developed their domain of expertise through practice over the years, are responsible for conducting penetration tests (designed to evaluate the effectiveness of Web system defenses through the use of a combination of attack tools, security and attacking expertise, and IT knowledge) prior to the deployment of a system as well as on an ongoing basis. Unless your organization does not have an expert to handle penetration testing, it’s often not expected that a typical software tester or developer would have this responsibility. The main focus of our goals as testers should be testing the Web site and Web application security at the application level. It means that we should seek out vulnerabilities and information leaks caused primarily by programming practice and, to a certain extent, by misconfiguration of Web servers and other application-specific servers. We should test for the security side effects or vulnerabilities caused by the functionality implementation. At the same time, we should also test for functional side effects caused by security implementation (see Figures 18.10 and 18.11). Functionality Side Effect: An Error-Handling Bug Example Applications often are not aware of the actual causes of failure conditions they experience. Errors may be due to session time-outs, absence of available disk
đang được dịch, vui lòng đợi..
Kiểm tra các mục tiêu và trách nhiệm
thường, có rất nhiều người trong một tổ chức người ảnh hưởng đến các mối quan tâm an ninh và cơ sở hạ tầng hoạt động; những cá nhân tạo nên đội team.Asecurity an ninh của một tổ chức có thể bao gồm những điều sau đây: ■■ hoạch định chính sách, người xác định yêu cầu an ninh tăng cường người dùng và nhà sản xuất tin tưởng vào hệ thống phòng thủ an ninh. ■■ quản trị mạng, người thiết kế và thực hiện các biện pháp an ninh để đảm bảo an ninh tại các cấp hoạt động. ■■ các nhà phát triển phần mềm, những người thiết kế và thực hiện phòng thủ an ninh ở mức ứng dụng (để đáp ứng yêu cầu về bảo mật). ■■ thử nghiệm phần mềm, người có trách nhiệm kiểm tra các hệ thống để phát hiện ra các chức năng, khả năng tương tác, cấu hình, và các lỗi tương thích như họ có liên quan đến an ninh thực hiện (chủ yếu ở mức ứng dụng và có lẽ ở cấp độ hoạt động là tốt), và phát hiện vấn đề tiềm năng giới thiệu bởi lỗ hổng bảo mật thiết kế. ■■ chuyên gia và tư vấn an ninh, người giúp thử nghiệm và duy trì các chương trình an ninh của bạn cũng như vi phạm xử lý an ninh. Thông thường, nhóm người này bao gồm những kẻ tấn công-cho-thuê được cải tổ. Cựu kẻ tấn công, người đã phát triển miền chuyên môn của họ thông qua thực hành trong những năm qua, có trách nhiệm tiến hành kiểm tra thâm nhập (được thiết kế để đánh giá hiệu quả của việc bảo vệ hệ thống Web thông qua việc sử dụng một sự kết hợp của các công cụ tấn công, chuyên môn bảo mật và tấn công, và kiến thức CNTT) trước khi việc triển khai một hệ thống cũng như trên cơ sở liên tục. Trừ khi tổ chức của bạn không có một chuyên gia để xử lý thử nghiệm thâm nhập, nó thường không mong đợi rằng một thử nghiệm phần mềm điển hình hoặc phát triển sẽ phải chịu trách nhiệm này. Trọng tâm chính của mục tiêu của chúng tôi là thử nghiệm nên thử nghiệm các trang Web và bảo mật ứng dụng Web ở mức ứng dụng. Nó có nghĩa là chúng ta nên tìm ra các lỗ hổng và rò rỉ thông tin gây ra chủ yếu bởi thực hành lập trình, và ở một mức độ nhất định, do cấu hình sai của các máy chủ web và máy chủ ứng dụng cụ thể khác. Chúng ta nên kiểm tra cho các tác dụng phụ hoặc các lỗ hổng bảo mật gây ra bởi việc thực hiện chức năng. Đồng thời, chúng ta cũng nên kiểm tra các tác dụng phụ chức năng do an ninh thực hiện (xem hình 18.10 và 18.11).
Chức năng Side Effect: An Error-Xử lý lỗi Ví dụ ứng dụng thường không nhận thức được những nguyên nhân thực tế của điều kiện thất bại họ trải nghiệm. Lỗi có thể do phiên time-outs, sự vắng mặt của đĩa có sẵn
thường, có rất nhiều người trong một tổ chức người ảnh hưởng đến các mối quan tâm an ninh và cơ sở hạ tầng hoạt động; những cá nhân tạo nên đội team.Asecurity an ninh của một tổ chức có thể bao gồm những điều sau đây: ■■ hoạch định chính sách, người xác định yêu cầu an ninh tăng cường người dùng và nhà sản xuất tin tưởng vào hệ thống phòng thủ an ninh. ■■ quản trị mạng, người thiết kế và thực hiện các biện pháp an ninh để đảm bảo an ninh tại các cấp hoạt động. ■■ các nhà phát triển phần mềm, những người thiết kế và thực hiện phòng thủ an ninh ở mức ứng dụng (để đáp ứng yêu cầu về bảo mật). ■■ thử nghiệm phần mềm, người có trách nhiệm kiểm tra các hệ thống để phát hiện ra các chức năng, khả năng tương tác, cấu hình, và các lỗi tương thích như họ có liên quan đến an ninh thực hiện (chủ yếu ở mức ứng dụng và có lẽ ở cấp độ hoạt động là tốt), và phát hiện vấn đề tiềm năng giới thiệu bởi lỗ hổng bảo mật thiết kế. ■■ chuyên gia và tư vấn an ninh, người giúp thử nghiệm và duy trì các chương trình an ninh của bạn cũng như vi phạm xử lý an ninh. Thông thường, nhóm người này bao gồm những kẻ tấn công-cho-thuê được cải tổ. Cựu kẻ tấn công, người đã phát triển miền chuyên môn của họ thông qua thực hành trong những năm qua, có trách nhiệm tiến hành kiểm tra thâm nhập (được thiết kế để đánh giá hiệu quả của việc bảo vệ hệ thống Web thông qua việc sử dụng một sự kết hợp của các công cụ tấn công, chuyên môn bảo mật và tấn công, và kiến thức CNTT) trước khi việc triển khai một hệ thống cũng như trên cơ sở liên tục. Trừ khi tổ chức của bạn không có một chuyên gia để xử lý thử nghiệm thâm nhập, nó thường không mong đợi rằng một thử nghiệm phần mềm điển hình hoặc phát triển sẽ phải chịu trách nhiệm này. Trọng tâm chính của mục tiêu của chúng tôi là thử nghiệm nên thử nghiệm các trang Web và bảo mật ứng dụng Web ở mức ứng dụng. Nó có nghĩa là chúng ta nên tìm ra các lỗ hổng và rò rỉ thông tin gây ra chủ yếu bởi thực hành lập trình, và ở một mức độ nhất định, do cấu hình sai của các máy chủ web và máy chủ ứng dụng cụ thể khác. Chúng ta nên kiểm tra cho các tác dụng phụ hoặc các lỗ hổng bảo mật gây ra bởi việc thực hiện chức năng. Đồng thời, chúng ta cũng nên kiểm tra các tác dụng phụ chức năng do an ninh thực hiện (xem hình 18.10 và 18.11).
Chức năng Side Effect: An Error-Xử lý lỗi Ví dụ ứng dụng thường không nhận thức được những nguyên nhân thực tế của điều kiện thất bại họ trải nghiệm. Lỗi có thể do phiên time-outs, sự vắng mặt của đĩa có sẵn
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Why did the sale of jeans stop growing?
- không có gì
- 두렵기에 말할수없네
- Das Wasser schoß mir wieder in die Augen
- tax issues
- Strategy Breakdown
- are you american
- On the farm now
- Negative, poaitive
- Dominated Economic
- partner
- Tôi thích đi uống cafe với bạn vào buổi
- Tôi chỉ mới biết cô gấy gần đây , cô ấy
- ti
- xe có động cơ
- timetables are full of useful subjects.o
- Das Wasser schoß mir wieder in die Augen
- Cô ấy tự tử
- Cô ấy hiếm khi muộn học
- cám ơn rất nhiều vì lá thư của bạn
- your friends still there?you now outside
- timetables are full of useful subjects.i
- Sự kiện mà tôi nhớ nhất đó là việc đỗ và
- your friends still there?you now outside
