- Văn bản
- Lịch sử
Testing Goals and ResponsibilitiesO
Testing Goals and Responsibilities
Often, there are numerous people within an organization who influence the security concerns and operational infrastructure; these individuals make up an organization’s security team.Asecurity team may include the following: ■■ Policymakers, who define security requirements that enhance user and producer confidence in system security defenses. ■■ Network administrators, who design and implement security measures to provide security at the operational level. ■■ Software developers, who design and implement security defenses at the application level (to meet security requirements). ■■ Software testers, who are responsible for testing the systems to uncover functionality, interoperability, configuration, and compatibility errors as they are related to security implementation (primarily at the application level and perhaps at the operational level as well), and discovering potential problems introduced by security design flaws. ■■ Security experts and consultants, who help test and maintain your security programs as well as handle security breaches. Often, this group of people consists of reformed attackers-for-hire. Former attackers, who developed their domain of expertise through practice over the years, are responsible for conducting penetration tests (designed to evaluate the effectiveness of Web system defenses through the use of a combination of attack tools, security and attacking expertise, and IT knowledge) prior to the deployment of a system as well as on an ongoing basis. Unless your organization does not have an expert to handle penetration testing, it’s often not expected that a typical software tester or developer would have this responsibility. The main focus of our goals as testers should be testing the Web site and Web application security at the application level. It means that we should seek out vulnerabilities and information leaks caused primarily by programming practice and, to a certain extent, by misconfiguration of Web servers and other application-specific servers. We should test for the security side effects or vulnerabilities caused by the functionality implementation. At the same time, we should also test for functional side effects caused by security implementation (see Figures 18.10 and 18.11).
Functionality Side Effect: An Error-Handling Bug Example Applications often are not aware of the actual causes of failure conditions they experience. Errors may be due to session time-outs, absence of available disk
Often, there are numerous people within an organization who influence the security concerns and operational infrastructure; these individuals make up an organization’s security team.Asecurity team may include the following: ■■ Policymakers, who define security requirements that enhance user and producer confidence in system security defenses. ■■ Network administrators, who design and implement security measures to provide security at the operational level. ■■ Software developers, who design and implement security defenses at the application level (to meet security requirements). ■■ Software testers, who are responsible for testing the systems to uncover functionality, interoperability, configuration, and compatibility errors as they are related to security implementation (primarily at the application level and perhaps at the operational level as well), and discovering potential problems introduced by security design flaws. ■■ Security experts and consultants, who help test and maintain your security programs as well as handle security breaches. Often, this group of people consists of reformed attackers-for-hire. Former attackers, who developed their domain of expertise through practice over the years, are responsible for conducting penetration tests (designed to evaluate the effectiveness of Web system defenses through the use of a combination of attack tools, security and attacking expertise, and IT knowledge) prior to the deployment of a system as well as on an ongoing basis. Unless your organization does not have an expert to handle penetration testing, it’s often not expected that a typical software tester or developer would have this responsibility. The main focus of our goals as testers should be testing the Web site and Web application security at the application level. It means that we should seek out vulnerabilities and information leaks caused primarily by programming practice and, to a certain extent, by misconfiguration of Web servers and other application-specific servers. We should test for the security side effects or vulnerabilities caused by the functionality implementation. At the same time, we should also test for functional side effects caused by security implementation (see Figures 18.10 and 18.11).
Functionality Side Effect: An Error-Handling Bug Example Applications often are not aware of the actual causes of failure conditions they experience. Errors may be due to session time-outs, absence of available disk
0/5000
Kiểm tra mục tiêu và trách nhiệmThông thường, có rất nhiều người trong một tổ chức ảnh hưởng đến mối quan tâm an ninh và cơ sở hạ tầng hoạt động; những cá nhân tạo nên đội bảo vệ của tổ chức. Asecurity nhóm có thể bao gồm: ■■ hoạch định chính sách, người xác định yêu cầu bảo mật nâng cao sự tự tin của người dùng và nhà sản xuất trong hệ thống an ninh bảo vệ. ■■ nhà quản trị mạng, người thiết kế và thực hiện các biện pháp an ninh để cung cấp bảo mật ở mức độ hoạt động. ■■ phát triển phần mềm, thiết kế và thực hiện an ninh bảo vệ ở cấp ứng dụng (nhằm đáp ứng yêu cầu bảo mật). ■■ phần mềm thử nghiệm, những người có trách nhiệm để thử nghiệm hệ thống để khám phá chức năng, khả năng tương tác, cấu hình và khả năng tương thích lỗi như họ có liên quan đến an ninh thực hiện (chủ yếu ở cấp độ ứng dụng và có lẽ ở cấp độ hoạt động), và phát hiện vấn đề tiềm năng được giới thiệu bởi lỗ hổng bảo mật thiết kế. ■■ bảo mật chuyên gia và tư vấn, những người giúp kiểm tra và duy trì chương trình an ninh của bạn cũng như xử lý vi phạm an ninh. Thông thường, nhóm người này bao gồm cải cách kẻ tấn công cho thuê. Kẻ tấn công trước đây, đã phát triển của lĩnh vực chuyên môn thông qua thực hành trong những năm qua, có trách nhiệm thực hiện các bài kiểm tra thâm nhập (được thiết kế để đánh giá hiệu quả của trang Web hệ thống phòng thủ bằng cách sử dụng một sự kết hợp của các công cụ tấn công, bảo mật và tấn công chuyên môn, và nó kiến thức) trước khi triển khai một hệ thống cũng như trên cơ sở liên tục. Trừ khi tổ chức của bạn không có một chuyên gia để xử lý thâm nhập thử nghiệm, nó thường không dự kiến rằng một điển hình phần mềm tester hoặc phát triển sẽ có trách nhiệm này. Mục tiêu chính của chúng tôi mục tiêu như xét nghiệm nên kiểm tra trang Web và Web ứng dụng bảo mật độ ứng dụng. Nó có nghĩa rằng chúng tôi nên tìm ra lỗ hổng và rò rỉ thông tin gây ra chủ yếu bởi lập trình thực hành và, đến một mức độ nhất định, bởi các lỗi cấu của máy chủ Web và máy chủ dành riêng cho ứng dụng khác. Chúng tôi nên kiểm tra an ninh tác dụng phụ hoặc lỗ hổng gây ra bởi việc thực hiện chức năng. Cùng lúc đó, chúng tôi cũng nên kiểm tra cho chức năng các tác dụng phụ do an ninh thực hiện (xem số liệu 18,10 và 18.11). Các tác dụng phụ chức năng: Một quản lý lỗi lỗi ví dụ ứng dụng thường không nhận thức được nguyên nhân thực tế của sự thất bại điều kiện họ kinh nghiệm. Lỗi có thể là do phiên thời gian-outs, sự vắng mặt của đĩa
đang được dịch, vui lòng đợi..
Kiểm tra các mục tiêu và trách nhiệm
thường, có rất nhiều người trong một tổ chức người ảnh hưởng đến các mối quan tâm an ninh và cơ sở hạ tầng hoạt động; những cá nhân tạo nên đội team.Asecurity an ninh của một tổ chức có thể bao gồm những điều sau đây: ■■ hoạch định chính sách, người xác định yêu cầu an ninh tăng cường người dùng và nhà sản xuất tin tưởng vào hệ thống phòng thủ an ninh. ■■ quản trị mạng, người thiết kế và thực hiện các biện pháp an ninh để đảm bảo an ninh tại các cấp hoạt động. ■■ các nhà phát triển phần mềm, những người thiết kế và thực hiện phòng thủ an ninh ở mức ứng dụng (để đáp ứng yêu cầu về bảo mật). ■■ thử nghiệm phần mềm, người có trách nhiệm kiểm tra các hệ thống để phát hiện ra các chức năng, khả năng tương tác, cấu hình, và các lỗi tương thích như họ có liên quan đến an ninh thực hiện (chủ yếu ở mức ứng dụng và có lẽ ở cấp độ hoạt động là tốt), và phát hiện vấn đề tiềm năng giới thiệu bởi lỗ hổng bảo mật thiết kế. ■■ chuyên gia và tư vấn an ninh, người giúp thử nghiệm và duy trì các chương trình an ninh của bạn cũng như vi phạm xử lý an ninh. Thông thường, nhóm người này bao gồm những kẻ tấn công-cho-thuê được cải tổ. Cựu kẻ tấn công, người đã phát triển miền chuyên môn của họ thông qua thực hành trong những năm qua, có trách nhiệm tiến hành kiểm tra thâm nhập (được thiết kế để đánh giá hiệu quả của việc bảo vệ hệ thống Web thông qua việc sử dụng một sự kết hợp của các công cụ tấn công, chuyên môn bảo mật và tấn công, và kiến thức CNTT) trước khi việc triển khai một hệ thống cũng như trên cơ sở liên tục. Trừ khi tổ chức của bạn không có một chuyên gia để xử lý thử nghiệm thâm nhập, nó thường không mong đợi rằng một thử nghiệm phần mềm điển hình hoặc phát triển sẽ phải chịu trách nhiệm này. Trọng tâm chính của mục tiêu của chúng tôi là thử nghiệm nên thử nghiệm các trang Web và bảo mật ứng dụng Web ở mức ứng dụng. Nó có nghĩa là chúng ta nên tìm ra các lỗ hổng và rò rỉ thông tin gây ra chủ yếu bởi thực hành lập trình, và ở một mức độ nhất định, do cấu hình sai của các máy chủ web và máy chủ ứng dụng cụ thể khác. Chúng ta nên kiểm tra cho các tác dụng phụ hoặc các lỗ hổng bảo mật gây ra bởi việc thực hiện chức năng. Đồng thời, chúng ta cũng nên kiểm tra các tác dụng phụ chức năng do an ninh thực hiện (xem hình 18.10 và 18.11).
Chức năng Side Effect: An Error-Xử lý lỗi Ví dụ ứng dụng thường không nhận thức được những nguyên nhân thực tế của điều kiện thất bại họ trải nghiệm. Lỗi có thể do phiên time-outs, sự vắng mặt của đĩa có sẵn
thường, có rất nhiều người trong một tổ chức người ảnh hưởng đến các mối quan tâm an ninh và cơ sở hạ tầng hoạt động; những cá nhân tạo nên đội team.Asecurity an ninh của một tổ chức có thể bao gồm những điều sau đây: ■■ hoạch định chính sách, người xác định yêu cầu an ninh tăng cường người dùng và nhà sản xuất tin tưởng vào hệ thống phòng thủ an ninh. ■■ quản trị mạng, người thiết kế và thực hiện các biện pháp an ninh để đảm bảo an ninh tại các cấp hoạt động. ■■ các nhà phát triển phần mềm, những người thiết kế và thực hiện phòng thủ an ninh ở mức ứng dụng (để đáp ứng yêu cầu về bảo mật). ■■ thử nghiệm phần mềm, người có trách nhiệm kiểm tra các hệ thống để phát hiện ra các chức năng, khả năng tương tác, cấu hình, và các lỗi tương thích như họ có liên quan đến an ninh thực hiện (chủ yếu ở mức ứng dụng và có lẽ ở cấp độ hoạt động là tốt), và phát hiện vấn đề tiềm năng giới thiệu bởi lỗ hổng bảo mật thiết kế. ■■ chuyên gia và tư vấn an ninh, người giúp thử nghiệm và duy trì các chương trình an ninh của bạn cũng như vi phạm xử lý an ninh. Thông thường, nhóm người này bao gồm những kẻ tấn công-cho-thuê được cải tổ. Cựu kẻ tấn công, người đã phát triển miền chuyên môn của họ thông qua thực hành trong những năm qua, có trách nhiệm tiến hành kiểm tra thâm nhập (được thiết kế để đánh giá hiệu quả của việc bảo vệ hệ thống Web thông qua việc sử dụng một sự kết hợp của các công cụ tấn công, chuyên môn bảo mật và tấn công, và kiến thức CNTT) trước khi việc triển khai một hệ thống cũng như trên cơ sở liên tục. Trừ khi tổ chức của bạn không có một chuyên gia để xử lý thử nghiệm thâm nhập, nó thường không mong đợi rằng một thử nghiệm phần mềm điển hình hoặc phát triển sẽ phải chịu trách nhiệm này. Trọng tâm chính của mục tiêu của chúng tôi là thử nghiệm nên thử nghiệm các trang Web và bảo mật ứng dụng Web ở mức ứng dụng. Nó có nghĩa là chúng ta nên tìm ra các lỗ hổng và rò rỉ thông tin gây ra chủ yếu bởi thực hành lập trình, và ở một mức độ nhất định, do cấu hình sai của các máy chủ web và máy chủ ứng dụng cụ thể khác. Chúng ta nên kiểm tra cho các tác dụng phụ hoặc các lỗ hổng bảo mật gây ra bởi việc thực hiện chức năng. Đồng thời, chúng ta cũng nên kiểm tra các tác dụng phụ chức năng do an ninh thực hiện (xem hình 18.10 và 18.11).
Chức năng Side Effect: An Error-Xử lý lỗi Ví dụ ứng dụng thường không nhận thức được những nguyên nhân thực tế của điều kiện thất bại họ trải nghiệm. Lỗi có thể do phiên time-outs, sự vắng mặt của đĩa có sẵn
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- không có gì
- Das Wasser schoß mir wieder in die Augen
- Strategy Breakdown
- are you american
- .Mâm ngũ quả miền Trung
- On the farm now
- Access denied
- Negative, poaitive
- Đây là trường mơ ước của tôi. Nó là rất
- Dominated Economic
- Surf
- partner
- Tôi thích đi uống cafe với bạn vào buổi
- Tôi chỉ mới biết cô gấy gần đây , cô ấy
- ti
- xe có động cơ
- timetables are full of useful subjects.o
- Das Wasser schoß mir wieder in die Augen
- Cô ấy tự tử
- Cô ấy hiếm khi muộn học
- cám ơn rất nhiều vì lá thư của bạn
- your friends still there?you now outside
- timetables are full of useful subjects.i
- your friends still there?you now outside
