Trong các bài viết trước đây của SecurityBox, chúng tôi đã từng giới thiệu với các bạn nhiều loại kiểm thử : kiểm thử beta, kiểm thử tải,… Bài viết này sẽ tiếp tục về một loại của kiểm thử phần mềm- Kiểm thử an ninh. Cùng tìm hiểu bài viết nhé.

Kiểm thử an ninh là gì?

Kiểm thử an ninh là một biến thể của Kiểm thử phần mềm nhằm đảm bảo hệ thống và ứng dụng trong một tổ chức, không có bất kỳ lỗ hổng bảo mật nào có thể dẫn đến thiệt hại. Kiểm thử về an ninh của bất kỳ hệ thống nào là việc tìm ra những lỗ hổng và điểm yếu của hệ thống ấy để đảm bảo mọi thông tin không bị nhòm ngó và đánh cắp.

Mục đích của kiểm thử an ninh

Mục đích của kiểu kiểm thử này là xác định các mối đe dọa trong hệ thống và đo lường các lỗ hổng tiềm tàng của nó. Việc này vừa giúp hệ thống khỏi các nguy cơ kiên quan đến bảo mật, vừa giúp nhà phát triển khắc phục những vấn đề còn tồn đọng trong thiết kế.

Các loại Kiểm tra An ninh:

Có bảy loại chính về kiểm tra an ninh. Tôi sẽ trình bày với các bạn ngay sau đây:

• Quét lỗ hổng: Điều này được thực hiện thông qua phần mềm tự động để quét một hệ thống, chống lại các dấu hiệu của lỗ hổng.
• Quét bảo mật: Nó bao gồm xác định các điểm yếu của mạng và hệ thống, và sau đó cung cấp các giải pháp để giảm các rủi ro này. Việc quét này có thể được thực hiện cho cả chức năng quét bằng tay và tự động.
• Kiểm tra thâm nhập : Loại thử nghiệm này mô phỏng một cuộc tấn công từ một hacker độc hại. Thử nghiệm này liên quan đến phân tích một hệ thống cụ thể để kiểm tra các lỗ hổng tiềm ẩn đối với một sự xâm nhập bất hợp pháp từ bên ngoài.

Có thể bạn quan tâm: Kiểu thử nghiệm Beta

• Đánh giá rủi ro: Thử nghiệm này liên quan đến phân tích rủi ro bảo mật được quan sát thấy trong tổ chức. Rủi ro được phân loại thành các bậc thấp, trung bình và cao. Thử nghiệm này nhằm đưa ra các biện pháp kiểm soát để giảm nguy cơ rủi ro
• Kiểm tra an ninh: Đây là một kiểm tra nội bộ của ứng dụng và hệ điều hành cho các lỗ hổng bảo mật. Kiểm tra cũng có thể được thực hiện thông qua kiểm tra mã dòng.
• Đánh giá đạo đức: Đó là tấn công một hệ thống tổ chức phần mềm. Không giống như các hacker độc hại – người ăn cắp lợi ích của mình, kiểu tấn công này có ý định để lộ lỗ hổng bảo mật trong hệ thống cho nhiều người biết đến.
• Đánh giá trạng thái: Kiểu kiểm thử này kết hợp quét an ninh, Đánh giá đạo đức và Đánh giá rủi ro để thể hiện một thái độ bảo mật chung của một tổ chức.

Kế hoạch kiểm tra nên bao gồm:

• Các trường hợp hoặc kịch bản thử nghiệm có liên quan đến bảo mật
• Kiểm tra dữ liệu liên quan đến kiểm tra an ninh
• Công cụ kiểm tra cần thiết để kiểm tra an ninh
• Phân tích các kết quả kiểm tra khác nhau từ các công cụ bảo mật khác nhau

Kịch bản thử nghiệm mẫu cho thử nghiệm bảo mật:

Các kịch bản kiểm tra mẫu để cung cấp cho bạn một cái nhìn sơ lược về các trường hợp kiểm tra bảo mật

• Mật khẩu phải ở định dạng được mã hóa
• Ứng dụng hoặc Hệ thống không nên cho phép người dùng không hợp lệ 
• Kiểm tra cookies và thời gian thực hiện
• Đối với trang web tài chính, nút Quay lại trình duyệt không nên hoạt động.

Xem thêm : Tổng quát về kiểm thử GUI

Phương pháp kiểm thử

Các phương pháp để thực hiện kiểm thử an ninh bao gồm:

• Tiger Box : Việc hacking này thường được thực hiện trên một máy tính xách tay có bộ sưu tập các hệ điều hành và các công cụ hacking. Thử nghiệm này giúp các nhà thử nghiệm thâm nhập và kiểm tra an ninh tiến hành đánh giá tính dễ bị tổn thương và các cuộc tấn công.
• Black Box : Người kiểm tra được phép thực hiện kiểm tra mọi thứ về mạng và công nghệ.
• Gray Box : Một phần thông tin được cung cấp cho người kiểm tra về hệ thống, và nó là một lai của mô hình hộp trắng và đen.

Kết luận:

Kiểm tra an ninh là thử nghiệm quan trọng nhất cho một ứng dụng và kiểm tra xem dữ liệu bí mật có được giữ bí mật hay không. Trong loại thử nghiệm này, người kiểm tra đóng vai trò của kẻ tấn công và “lượn” xung quanh hệ thống để tìm các lỗi liên quan đến an ninh. Thử nghiệm bảo mật này là thực sự quan trọng trong ngành công nghiệp CNTT để bảo vệ dữ liệu.