3 tipuri de teste de securitate pentru magazine online

Cand vine vorba de testare software, partea de security este una dintre cele mai complexe din cauza multitudinii de moduri in care un bug poate sa apara. Creativitatea si cunostintele tehnice sunt principalele atuuri de care are nevoie un QA specializat in securitate. Hai sa vedem mai jos 3 tipuri de teste pe care le poate face oricine si se incadreaza in nisa de securitate.

Te gandesti la o cariera in testarea software? Te pot ajuta sa te pregatesti pentru jobul de QA Engineer.
Cere detalii folosind acest formular.

Parameter Tampering

Modificarea parametrilor trimisi prin URL este cea mai simpla metoda de testare a securitatii unui website. Acest tip de test presupune schimbarea valorilor in parametrii care exista deja pentru a plati mai putin sau a cumpara mai mult la un cost mai mic. Un exemplu simpul ar fi ca in URL-ul de mai jos sa modificam pretul produsului din 299 in 29 si sa vedem daca modificarea se reflecta si in pagina. Un alt test ar putea fi setarea unui pret negativ care ar putea reduce costul total al cosului de cumparaturi.

Exemplu URL: https://magazin.ro/productIdD=215&price=299

Insecure Direct Object Reference

Vulnerabilitatea aceasta este asemanatoare cu cea de mai sus dar are o diferenta importanta. In cazul unui IDOR, un user malitios doreste sa afle informatii nu sa le modifice. Luand exemplul de mai jos, acel URL aduce pagina cu detaliile unui user (userul cu ID = 3). Prin modificarea acelui ID am putea teoretic sa vedem datele unui alt user, chiar daca nu suntem logati cu userul si parola sa. Aceasta vulnerabilitate nu este intalnita prea des dar merita testata.

Exemplu URL: https://magazin.ro/userID=3

Race Conditions

Cand auzi cuvantul “race” te gandesti la o cursa. Exact acest lucru sta la baza bugurilor de tip Race Condition. Practic in aplicatii pot exista unele”curse” intre executiile unor functionalitati. De exemplu, daca ai un card cu 100 de lei si rogi un prieten sa scoata de la bancomat acea 100 de lei iar tu scoti tot 100 de lei dar de la ghiseul bancii s-ar putea ca cele 2 executii ale functionalitatii de retragere numerar sa mearga in paralel fara sa stie una de cealalta. In acest caz atat prietenul tau cat si tu puteti scoate cate 100 de lei desi nu exista atati bani in cont.

Radu Popescu

https://blogdeit.ro

Fondatorul comunitatii VlogDeIT. IT-ist generalist pasionat de zona de marketing/business. Ajut tinerii sa inteleaga domeniul IT din Romania si sa se angajeze mai usor.

Related post