segunda-feira, 7 de abril de 2014

Segurança no Software - Gerenciar Perfis - Vulnerabilidades e Ataques

Continuando a séria sobre Segurança no Software, iremos abordar alguns testes que podemos fazer a fim de garantir a segurança.

Como errar é humano, e, quando uma Aplicação começa a ser utilizado, contém inúmeros bugs, e essas vulnerabilidades que existem na Aplicação estão sujeitas a ser descobertas.

Mas como podemos, Bugs Busters, evitar que nossas Aplicações contenham vulnerabilidades (ou pelo menos diminuir)? 

Teste 1 
     Verificar o grupo de acesso cadastrado e suas respectivas permissões  de acesso.
     Cadastrar os perfis, e em cada perfil associar um determinado usuário e logar no Aplicação. 
  Resultado esperado: a Aplicação deve permitir acesso conforme perfil associado.
   Risco Mitigado: acesso indevido a dados e funcionalidade
________________________________________

Teste 2
     Cadastrar um determinado grupo de acesso e associar o grupo aos usuários da Aplicação.
     Logar na Aplicação com o usuário que foi associado a um determinado grupo. 
  Resultado esperado: a Aplicação deve permitir acesso a todos os usuários conforme grupo associado.
  Risco Mitigado: acesso indevido a dados e funcionalidade e verificar se o controle de perfil a grupo está funcionando conforme especificado.
________________________________________



Teste 3
     Logar na Aplicação com perfil de administrador ou com privilégio especial.
     Navegar até uma página que apenas o perfil logado possa acessar.
     Ex. https://aplicacao.com.br/Ciclo/EncessarMes.aspx e copiar o caminho em destaque.
     Logar na Aplicação com perfil que não tenha acesso a funcionalidade acima.
     Ex. https://aplicacao.com.br/Defaut.aspx
     Ainda logado na Aplicação com o perfil sem privilégio a primeira funcionalidade, colar o caminho Ex. /Ciclo/EncessarMes.aspx
  Resultado esperado: a Aplicação apresenta mensagem informando que o usuário logado não tem acesso a funcionalidade.
   Risco Mitigado: acesso indevido às informações ou funcionalidades.

  OBS: um ponto importante é que as mensagem de erro não deverão apresentar elementos como queries que possam identificar elementos estruturais da Aplicação. As mensagens de erro devem ser mascaradas de forma a apresentar informações sucintas para o usuário

Abraços e até a próxima! 
 ________________________________________

Gostou? Compartilhe

br.linkedin.com/pub/silas-fellipe/24/33a/950
Marcadores:

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)