På Oreillys utmärkta ONLamp finns många bra artiklar. En artikel som måhända inte är purfärsk, men väl värd att läsa är en artikel om hur du automagiskt säkerhetstestar dina webbapplikationer. Artikeln tar avstamp i att dagens webbplatser, ex en webbshop oavsett om den bygger på ASP, .Net eller LAMP är ett komplext system med flera servrar och lager av kod. Att manuellt sitta och leta efter problem blir då ohållbart. Vad som krävs är istället någon form av automatik som gör det möjligt att regelbundet undersöka sitt system. Systemet som artikeln utgår från ser ut så här:
Utifrån detta skapas ett attackmodell med olika typer av attacker mot systemet:
Attackerna kodas sedan upp i ett ramverk som sedan driver ett testsystem byggt i Python som testar systemet och utvärderar responsen från systemet. Ett slags black-box-testning helt enkelt.
Det jag saknar från artikeln är ett påpekande om att detta försfarande inte bara är applicerbart på befintliga webbplatser, utan naturligtvis borde användas både vid system- och applikationsutvecklingen under utvecklingsfasen samt under systemets fortsatta livslängd. (Jag gillar regressionstester). Notera dock att detta sätt att testa tar inte bort behovet av mer formella granskningar av systemets säkerhet, utan är ett komplement.
Arbetar du med utveckling och/eller drift av webbapplikationer och inte redan gör den här typen av tester kommer du troligen att hitta en del matnyttigt i den här artikeln.
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
