Hoje iremos abordar como nós Bug Busters podemos conversar com a aplicação.
É isso mesmo que você leu, conversar com a aplicação.
Não estou ficando maluco, mas se na conversa fizermos as perguntas certas, a aplicação pode nos dar algumas respostas bem interessantes.
Não estou ficando maluco, mas se na conversa fizermos as perguntas certas, a aplicação pode nos dar algumas respostas bem interessantes.
Vejamos algumas:
Identificação e Autenticação
1 - O sistema exibe dados não públicos ou pode alterar qualquer tipo de dado?
Caso a resposta seja sim para alguma opção, o sistema precisa identificar os usuários que acessam o sistema.
A única exceção é para sistemas onde o anonimato do usuário é importante, como sistemas de ouvidoria.
Risco Mitigado: acesso indevido a dados e funcionalidades da aplicação A única exceção é para sistemas onde o anonimato do usuário é importante, como sistemas de ouvidoria.
________________________________________
2 - A aplicação poderá ter ações ou telas as quais o usuário terá acesso antes de ser identificar? Por exemplo, um site com uma parte pública e o restante requerendo o login a senha.
Pode ocorrer que em uma aplicação parte da informação seja pública e outra parte ou ações da aplicação não sejam.
Risco Mitigado: acesso indevido a dados e funcionalidades da aplicação
________________________________________
Na criação da senha, atentar para o tamanho mínimo e condições de presença de caracteres e números reduzem o risco da senha ser quebrada com uso de dicionário e aumenta muito o tempo necessário para quebra por força bruta.
A senha deverá ser trocada (pelo menos é o recomendado) periodicamente para evitar ataques de força bruta ou de visualização da informação.
Risco Mitigado: em ambos os casos, a quebra da senha por ataques de força bruta.
________________________________________
Depende.
Imagina uma Aplicação de leilão por exemplo.
Está acontecendo um leilão de um item, onde você e mais 10 pessoas estão concorrendo centavo a centavo. Um dos concorrentes ao item não quer perder de maneira nenhuma aquele item.
Ao verificar os lances ofertados ao item, ele vê os lances de cada usuário e teve uma ideia. Usando uma ferramenta de automação de teste, ele criou um script onde faz que cada usuário que está concorrendo ao leilão tentasse autenticar na Aplicação X vezes com a senha errada.
Resultado: a Aplicação bloqueou todos os usuários que estavam concorrendo ao leilão e ele ganhou.
Essa situação aconteceu com um famoso site que vende e leiloa itens na internet.
Analise e faça as perguntas certas a Aplicação.
Risco Mitigado: bloqueio indevido e prejudicial de usuários ou garantir a integridade da Aplicação, impedindo que alguém acesse a Aplicação por força bruta.
________________________________________
5 - A Aplicação pode ser acessada por outras aplicações ou bots com o intuito de indexação ou automação por parte do usuário?
Caso a utilização do sistema de forma automatizada não seja desejável, pode ser utilizada o CAPTCHAs para garantir que o usuário é um ser humano e não uma ferramenta automática de acesso. Isso previne alguns tipos de ataques de negação de serviço.
Risco Mitigado: ataque por acesso automatizado ao sistema
________________________________________
No próximo artigo iremos falar sobre algumas perguntas sobre Autorização
________________________________________
Gostou? Compartilhe
Nenhum comentário:
Postar um comentário