Security

Door Franka Buurmeijer In Testen

Security klinkt een beetje angstaanjagend. Als de veiligheid van een systeem niet goed op orde is dan kan dit grote gevolgen hebben. Als tester heb je daarom een grote verantwoordelijkheid, maar we zijn nog niet allemaal klaar voor deze verantwoordelijkheid.

Een maand geleden was ik ook niet goed voorbereid op het testen van security. Ik besefte mij dat security een kwaliteitskenmerk is, dat dit belangrijk is vanwege de grote mogelijke gevolgen, maar ik had geen idee hoe ik security kon testen. Het was tijd om deze uitdaging aan te pakken.

Op de Nederlandse Testdag woonde ik twee workshops bij waar werd verwezen naar de OWASP-top 10. Deze lijst bevat de 10 grootste security risico’s en wordt jaarlijks door security experts opgesteld. Door op de OWASP-top 10 te testen en gevonden problemen op te lossen, wordt een minimale kwaliteit op het gebied van security bereikt.

Ik sprong in het diepe en probeerde de ZAP-testtool uit. Met de ZAP-testtool kun je vrij gemakkelijk een webapplicatie testen op de OWASP-top 10. De ZAP-testtool brengt de structuur van jouw webapplicatie in kaart en manipuleert de gevonden webadressen om zwakheden te vinden. Deze zwakheden worden vervolgens aan jou gerapporteerd.

Niet alle gerapporteerde zwakheden zijn een echte zwakheid. Soms is gekozen voor een bepaalde oplossing, ondanks de risico’s, en is een zwakheid dus niet een bug. Basiskennis van de security risico’s en kennis van jouw applicatie en is nodig om de gevonden zwakheden te beoordelen.

Het kan ook zijn dat een zwakheid niet in de OWASP-top 10 staat, maar wel voorkomt in jouw applicatie. Zo kwam ik een applicatie tegen waarbij de invoergegevens wel door de front-end werd tegengehouden, maar de input niet goed door de server werd gecontroleerd. Ik was daardoor in staat om onzingegevens toe te voegen aan de database en mogelijk grote schade aan te richten. Om deze zwakheid te vinden heb je niet veel kennis en kunde nodig, maar moet je de zwakheid wel kennen.

Een security-expert worden vergt het verkrijgen van veel kennis en ervaring, maar een begin maken is verrassend eenvoudig. Mijn tips: bekijk de OWASP top 10 en probeer de ZAP-testtool eens uit op jouw applicatie (Let op: niet zonder risico!). Doe een online cursus over security en lees artikelen over security issues. Met deze acties kreeg ik een beter begrip van security testen waardoor de koudwatervrees weg is.

 

Meer informatie

Franka Buurmeijer 592×592@4x

Franka Buurmeijer

Tester

+31 6 27 06 79 42 Stuur Franka een e-mail

Reacties

Er zijn nog geen reacties op dit bericht.

Plaats een reactie

Dit veld is verplicht.

Vul een geldig e-mailadres in.

Dit veld is verplicht.