Question

Существует ли такая вещь, как автоматизированное тестирование безопасности в Java? Если да, то как это реализовано? Это просто тесты JUnit, написанные для того, чтобы попытаться использовать известные серверные уязвимости, или их основа безопасности ориентирована на тестирование?

В качестве продолжения я также заинтересован в этой OWASP Security Testing Framework, но не могу сказать, используют ли они "framework" в классическом смысле (имеется в виду набор руководящих принципов и процедур, которым необходимо следовать), или в программный контекст (где они фактически предоставляют компоненты для автоматического тестирования безопасности).

Спасибо всем, кто может пролить свет на это для меня!

Ivan Sopov · Answer 1 · 21 сентября 2011

Не знаю, это именно то, что вы ищете, но в блоге Стивена Коулборна (автора joda-time и будущего нового стандартного API даты-времени java8) о тестировании разрешений безопасности с junit:* Блог Стивена Колебурна: тестирование разрешения безопасности

Josh Pordon · Answer 2 · 21 сентября 2011

Fuzz-тестирование никогда не повредит: http://www.ibm.com/developerworks/java/library/j-fuzztest/index.html

Нечеткое тестирование помогает вам убедиться, что ваше приложение защищено от любых возможностей ввода данных пользователем.

Fuzz-тестирование немного неудобно для тестов JUnit, потому что они «случайные». Возможно, вы захотите выполнить цикл и выполнить несколько нечетких тестов на каждом входном канале в наборе тестов.

Simon Bennetts · Answer 3 · 19 февраля 2013

Автоматизированное тестирование безопасности - сложное , но это не значит, что его не стоит делать.

Мое предложение для веб-приложений - используйте существующие тесты модулей и интеграции (например, Selenium), а затем проксируйте их через инструмент безопасности, такой как OWASP ZAP (Zed Attack Proxy). Подробнее см. http://code.google.com/p/zaproxy/wiki/SecRegTests.

Саймон (руководитель проекта ZAP)

Glen · Answer 4 · 17 февраля 2013

Существуют коммерческие инструменты, такие как VeraCode, которые выполняют сканирование безопасности.Я не работаю на них, но моя компания использует это.Это кажется довольно основательным.

Jens Borgland · Answer 5 · 29 апреля 2012

Такие инструменты, как Sonar и FindBugs также могут быть автоматическим способом поиска по крайней мере некоторых проблем безопасности (FindBugs весьма эффективен при обнаружении рисков внедрения SQL и т. Д.).

Тестирование безопасности Java

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 5 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Тестирование безопасности Java

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 5 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы