Existují osvědčené postupy pro testování bezpečnosti v agilní vývoj obchodě?

hlasů
9

Pokud jde o agilní vývoj, jaké jsou nejlepší postupy pro testování bezpečnosti za propuštění?

Pokud se jedná o měsíční zpráva, existují obchody dělají pera testy každý měsíc?

Položena 05/08/2008 v 16:05
zdroj uživatelem
V jiných jazycích...                            


4 odpovědí

hlasů
2

Jaká je vaše aplikace doména? Záleží.

Vzhledem k tomu, jste použili slovo „Agile“ Hádám, že je to webová aplikace. Mám na zahradě snadný pro vás odpověď.

Jít koupit kopii Burp Suite (je to # 1 Google výsledek pro „říhnutí“ --- jistý schvalování!); Bude vás to stát 99EU nebo ~ $ 180USD, nebo $ 98 Obama dolarů, pokud budete čekat až do listopadu.

Říhnutí pracuje jako proxy. Budete procházet webové aplikace pomocí prohlížeče Firefox nebo IE nebo cokoliv, a shromažďuje všechny hity si vygenerovat. Tyto hity dostat přivádí do funkce nazvané „Intruder“, což je webová fuzzer. Vetřelec bude zjistit všechny parametry, které poskytují každému z vašich dotazů manipulátory. To pak bude snažit šílené hodnoty pro každý parametr, včetně SQL, souborový systém a HTML metaznaků. Na typické složité formuláře poštou, to bude generovat asi 1500 hity, které si budete moci prohlédnout si na jaké děsivé --- nebo co je ještě důležitější v Agile kontextu nových --- chybové reakce.

Fuzzing každý dotazu handler ve vaší webové aplikace při každé iteraci vydání je # 1 věc, kterou můžete udělat pro zlepšení zabezpečení aplikace bez zahájení formálního „SDLC“ a přidáním počtu zaměstnanců. Kromě toho zkontrolovat kód pro hlavní webové aplikace bezpečnostních horké skvrny:

  • Používejte pouze Parametrizované připravené příkazy SQL; není vůbec jednoduše spojovat řetězce a krmit je do databáze rukojeti.

  • Filtrovat všechny vstupy do bílého seznamu známých dobrých znaků (alnum, základní interpunkce), a co je důležitější, výstup filtrovat data z výsledků dotazu na „neutralizovat“ HTML metaznaků na HTML entity (quot, lt, gt, atd.)

  • Používat dlouhé náhodné identifikátory těžko uhodnout kdekoliv jste v současné době pomocí ID jednoduché celočíselné řádků v parametrech dotazu, a ujistěte se, že uživatelské X nemůže vidět uživatele y své údaje jen hádat tyto identifikátory.

  • Zkoušet každou rutinu dotazu v aplikaci, aby se zajistilo, že funguje pouze tehdy, pokud je platný, přihlášeného relace cookie prezentovány.

  • Zapnout ochranu XSRF ve Vašem webovém zásobník, který bude generovat skrytou formu symbolické parametry na všechny vaše poskytovaných formách, aby se zabránilo útočníkům vytvářet škodlivé odkazy, které bude předkládat formuláře pro nic netušící uživatele.

  • Použijte bcrypt --- a nic jiného --- pro ukládání hash hesla.

Odpovězeno 10/09/2008 v 22:19
zdroj uživatelem

hlasů
1

Unit testování , Defense programování a spousta klád

Unit testování

Ujistěte se, že test, který jednotky co nejdříve (např heslo by mělo být zašifrována před odesláním, SSL tunel funguje, atd.) Tím by se zabránilo své programátory z náhodně čímž se program nejistá.

obrana Programming

Já osobně volat to paranoidní programování, ale Wikipedia se nikdy nemýlí ( sarkasmus ). V podstatě, můžete přidat testy do svých funkcí, která kontroluje všechny vstupy:

  • Uživatel je cookie platné?
  • je stále aktuálně přihlášeného?
  • jsou parametry, jejichž funkcí je chráněna proti SQL injection? (I když víte, že vstupní jsou generovány vlastních funkcí budete testovat tak jako tak)

Protokolování

Zaznamenává se vše jako blázen. Jeho snadnější odstranění protokoly pak je přidat. Uživatel se přihlásili? Log ji. Uživatel našel 404? Log ji. Admin upravil / odstranil příspěvek? Log ji. Někdo byl schopný získat přístup k omezené stránky? Log ji.

Nebuďte překvapeni, pokud váš soubor protokolu dosáhne 15+ Mb během vývojové fáze. Během beta, můžete se rozhodnout, do kterého se přihlásí k odstranění. Chcete-li, můžete přidat příznak rozhodnout, kdy je zaznamenána určitá událost.

Odpovězeno 18/08/2008 v 03:40
zdroj uživatelem

hlasů
1

Nejsem bezpečnostní expert, ale myslím, že nejdůležitější skutečnost, že jste měli být vědomi, před bezpečnost testování, je to, co se snažíte chránit. Pouze tehdy, pokud víte, co se snaží ochránit, můžete provést řádnou analýzu svých bezpečnostních opatření, a teprve potom můžete začít testování těchto realizovaných opatření.

Velmi abstraktní, já vím. Myslím si však, že by mělo být prvním krokem každého bezpečnostního auditu.

Odpovězeno 05/08/2008 v 18:50
zdroj uživatelem

hlasů
1

Nejsem žádný odborník na agilní vývoj, ale já bych si představit, že integruje některé základní automatizovaný pero-test software do vašeho sestavení cyklus by byl dobrý začátek. Viděl jsem několik softwarových balíčků tam, že bude dělat základní testování a jsou dobře hodí pro automatizaci.

Odpovězeno 05/08/2008 v 18:19
zdroj uživatelem

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more