Pesquisar este blog

sábado, 30 de junho de 2012

Requisitos para Realização dos Testes de Segurança

     Antes de vir o Sistema para realizar os Testes de Segurança, devemos entender algumas coisas, não adianta vir pra testes um sistema que não foi implementado nenhum controle de Segurança, que não foi aplicado nenhum método de desenvolvimento e processo seguro, não adianta você testar uma Aplicação sem analisar esses pontos, porque se algum ponto seu teste falhar, pode ter certeza que a Aplicação esta Vulnerável. Não garanta 100% de segurança nos testes, não caia nesse erro, abaixo segue alguns procedimentos antes de entrar na fase de Teste.

Implementar Controles de Segurança (contra XSS, SQL-Injection etc.).

Realiza o Backup do Banco de Dados.


Desativar o Captia

Abuso de Funcionalidades – Métodos de HTTP Trace e Track devem ser desativados caso não for usado.

Versões de Componentes, Banco de Dados, Servidor Web, não deve constar na camada de apresentação.

Arquivos de Log, Paginas duplicatas, Páginas de Teste, .bak, sav, .old, .txt, etc. devem ser limpas do Builder, caso não seja essencial.

Todas as transmissões de Dados Sigilosos devem conter SSL (Protocolo de Camada de Sockets Segura) e TLS (Segurança da Camada de Transporte).

Não deve conter a listagem de arquivos nas Aplicações.

As referências das solicitações HTTP devem vir somente do domínio.

 O sistema não deve fazer o download ou visualizar o conteúdo de um arquivo de configuração, o que pode conter informações vitais, como nomes de usuários e senhas.

As mensagens de erro de login ou senha devem ser únicas.

O usuário deve ser bloqueado depois de inúmeras tentativas de erro de login e senha.

O sistema deve conter um algoritmo de armazenamento de dados Seguro.

Remover os valores de parâmetro 'codificados permanentemente' no HTML como um parâmetro do tipo 'oculto'.

Não deve colocar o caminho do servidor no código html, scripts, etc.

Código de terceiros, não deve está nome de desenvolvedor, telefone, ou qualquer outro dado de terceiro na camada de aplicação.

Página de administrador, não deve está nos mecanismos de busca da internet.

A aplicação não deve responder a comandos externos.

A Aplicação não deve fazer o upload de código fonte ou qualquer outro script.

As pilhas de tratamentos de erros, não devem aparecer na camada de aplicação, informações de tabelas, procedures, select etc.

A aplicação Web deve ser configurado com cookies de sessão com o atributo HttpOnly.
Usuário de Teste deve está fora da black list, caso tenha um controle de acesso não autorizado.

Nenhum comentário:

Postar um comentário