Πώς να κατανοήσετε το λογισμικό για την αξιολόγηση εφαρμογών;
Ναπολέων Μανιάκης
• 3 λεπτά ανάγνωση
Εάν εσείς είστε προγραμματιστής εφαρμογών, πιθανότατα έχετε ήδη ξοδέψει ώρες ώρες για τη δημιουργία και τον έλεγχο του κώδικα για την εφαρμογή σας. Ενώ η αρχιτεκτονική και η ανάπτυξη λογισμικού είναι, σε καμία περίπτωση, μια εύκολη εργασία, υπάρχουν πάντα ορισμένες ευπάθειες που πρέπει να αξιολογήσετε για να διαπιστώσετε εάν η εφαρμογή λογισμικού σας μπορεί να πληροί τα βιομηχανικά πρότυπα. Πολλοί προγραμματιστές θα έλεγαν ότι αυτό είναι ένα επιπλέον, περιττό βήμα - μετά από όλα, το κύριο σημείο είναι ότι η εφαρμογή λειτουργεί και παραδόθηκε εγκαίρως, σωστά; Αυτός είναι τεχνικά ο λανθασμένος τρόπος σκέψης, καθώς κάθε μέρα νέοι κίνδυνοι ασφάλειας εντοπίζονται σε εταιρείες σε όλο τον κόσμο, με εκπληκτικές συνέπειες. Τούτου λεχθέντος, μπορεί να χρειαστείτε ένα εργαλείο για να σας βοηθήσει στην αξιολόγηση της αίτησής σας.
Εκτέλεση αξιολόγησης ασφάλειας εφαρμογών
Η αξιολόγηση εφαρμογών είναι ένας τομέας ασφάλειας πληροφορικής που σχετίζεται στενά με τον έλεγχο διείσδυσης, εκτός από το ότι ασχολείστε αποκλειστικά με μια εφαρμογή, όχι με υποδομή, κάτι που συμβαίνει συχνά όταν πρόκειται για δοκιμές ασφαλείας. Σε ένα ταχέως μεταβαλλόμενο περιβάλλον, τα εργαλεία αξιολόγησης πρέπει να είναι σε θέση να προσαρμόζονται στις συγκεκριμένες λειτουργίες του ίδιου του λογισμικού. Ωστόσο, υπάρχουν ορισμένοι γενικοί κανόνες που μπορεί κανείς να ακολουθήσει κατά τη διενέργεια αξιολόγησης ασφάλειας εφαρμογών. Αυτές οι γενικές δοκιμές ορίζονται ως εξής:
Η επικύρωση της αίτησης πρέπει να επιθεωρείται, εκτός από τον έλεγχο ορίων, προκειμένου να ελέγχεται για εσφαλμένη ή κακόβουλη εισαγωγή κώδικα. Ο πλευρικός κώδικας του πελάτη πρέπει να χειριστεί για να δει αν μπορεί να αντέξει τη διείσδυση. Αυτό περιλαμβάνει επίσης διαμόρφωση συνεδρίας και αρχεία πληροφοριών. Θα πρέπει επίσης να γνωρίζετε την αλληλεπίδραση μεταξύ των διαφορετικών εφαρμογών στο σύστημα και αν κάτι τέτοιο μπορεί να προκαλέσει παραβίαση της ασφάλειας. Η αξιολόγηση της εφαρμογής συνεπάγεται επίσης να μπείτε στο μυαλό ενός χάκερ και να δοκιμάσετε όλες τις πιθανές ευκαιρίες για έναν εισβολέα να μπει στο σύστημά σας μέσω της εν λόγω εφαρμογής. Η καταγραφή συμβάντων πρέπει επίσης να επιθεωρείται, εκτός από τις μεθόδους ελέγχου ταυτότητας που χρησιμοποιεί η ίδια η εφαρμογή.
Ο σύμβουλος ασφαλείας πρέπει να είναι σε θέση να εκτιμήσει τυχόν και όλους τους πιθανούς κινδύνους ασφαλείας που μπορεί να έχει η εφαρμογή, είτε πρόκειται για μια εφαρμογή που βασίζεται σε πελάτες είτε μέρος ενός κλιμακωτού συστήματος. Ο σύμβουλος θα έχει ήδη ορισμένα σενάρια δοκιμών στο μυαλό, όλα συνδεδεμένα με την κύρια λειτουργία της εφαρμογής στο σύστημα. Τα σενάρια δοκιμής μπορούν να γραφτούν για να βοηθήσουν τον οδηγό ασφαλείας στον έλεγχο εφαρμογών, αλλά δεδομένου του επιπέδου προσαρμογής των περισσότερων εφαρμογών αυτές τις μέρες, μπορεί επίσης να είναι αρκετά αποτελεσματικό να προετοιμάσετε μια γενική λίστα ελέγχου ερωτήσεων δοκιμής και να δείτε εάν η εφαρμογή πληροί το ελάχιστο απαιτήσεις.
Λόγω των περιορισμών χρονικής πίεσης που σχετίζονται με την ανάπτυξη λογισμικού, η αξιολόγηση ασφάλειας εφαρμογών μπορεί να οδηγήσει σε πιο πιεστικά προβλήματα ανάπτυξης. Ωστόσο, πρέπει να έχετε κατά νου ότι παρόλο που είστε σε θέση να παραδώσετε την εφαρμογή με τη σωστή λειτουργική ικανότητα τη σωστή στιγμή, η εφαρμογή τελικά θα αγνοηθεί εάν ο πελάτης σας διαπιστώσει ότι η ίδια η εφαρμογή μπορεί να είναι η αιτία παραβίασης της ασφάλειας, επομένως θέτοντας σε κίνδυνο ολόκληρο το σύστημα. Εάν συμβεί αυτό, όχι μόνο θα χάσετε την εφαρμογή στο σύστημα, αλλά θα χάσετε και έναν πολύτιμο πελάτη.