АНАЛІЗ ІНСТРУМЕНТІВ ТЕСТУВАННЯ ВЕБЗАСТОСУНКІВ

Олена Трофименко; Анастасія Дика; Юлія Лобода

doi:10.28925/2663-4023.2023.20.6271

Кібербезпека: освіта, наука, техніка (Jun 2023)

АНАЛІЗ ІНСТРУМЕНТІВ ТЕСТУВАННЯ ВЕБЗАСТОСУНКІВ

Олена Трофименко,
Анастасія Дика,
Юлія Лобода

Affiliations

Олена Трофименко: ORCiD; Національний університет «Одеська юридична академія»
Анастасія Дика: ORCiD; Національний університет «Одеська юридична академія»
Юлія Лобода: ORCiD; Національний університет «Одеська юридична академія»

DOI: https://doi.org/10.28925/2663-4023.2023.20.6271
Journal volume & issue: Vol. 4, no. 20
pp. 62 – 71

Abstract

Read online

У статті проаналізовані сучасні методи та інструменти, які використовуються для тестування безпеки вебзастосунків. Поширеність порушень безпеки вебзастосунків та важливість їх запобігання зробило тестування безпеки невіддільною складовою життєвого циклу розробки відповідного ПЗ, яка має виявляти вразливості, пов'язані із забезпеченням цілісного підходу до захисту програми від хакерських атак, вірусів, несанкціонованого доступу до конфіденційних даних. Для виявлення уразливостей безпеки є різні інструменти тестування безпеки, серед яких популярними є: статичне та динамічне тестування безпеки (SAST та DAST), інтерактивне тестування (IAST), аналіз складу ПЗ (SCA), самозахист програми під час виконання (RASP), брандмауери (WAF), керування станом захисту хмарних середовищ (CSPM). Аналіз сучасних інструментів тестування безпеки показав, що всі вони мають свої переваги і недоліки через специфіку своєї організації. Комбінування та використання переваг кожного з них може забезпечити високий рівень безпеки програмного вебпродукту. Можливими проблемами, пов’язаними з аспектом вебтестування безпеки, є: зламані або ненадійні паролі, переповнення буфера, маніпулювання прихованими полями, ненадійне використання криптографії, перехоплення файлів cookie, неправильні конфігурації сервера, слабке керування сеансами, розкриття конфіденційних даних, маніпуляції з параметрами, соціальне хакерство, неадекватна перевірка введених даних тощо. Зосередження на різних питаннях і проблемах, пов’язаних із тестуванням безпеки вебзастосунків, надає значні дивіденди у виявленні та усуненні різноманітних ризиків, уразливостей, атак, загроз, вірусів тощо. Щоб адаптуватися до динамічної та неоднорідної природи Інтернету та якнайкраще забезпечити захист вебзастосунків, ефективним є комплексний і збалансований підхід до тестування їх безпеки та вибору відповідних засобів. Ключові слова: тестування безпеки; вебзастосунок; безпека вебзастосунків; уразливості

тестуваннябезпеки; вебзастосунок; безпека вебзастосунків; уразливості безпеки; інструменти тестування

Published in Кібербезпека: освіта, наука, техніка

ISSN: 2663-4023 (Online)
Publisher: Borys Grinchenko Kyiv University
Country of publisher: Ukraine
LCC subjects: Technology: Technology (General): Industrial engineering. Management engineering: Information technology
Website: http://csecurity.kubg.edu.ua/index.php/journal

About the journal

Abstract

Keywords