|
Test av applikasjonssikkerhetSpesialutviklede WEB applikasjoner som tillater pålogging inneholder i mer enn 81% av testene kritiske sikkerhetshull . Sikkerhetstester utføres i Secode av sikkerhetsklarert personell med taushetsplikt. Det er til enhver tid et stort antall spesialproduserte applikasjoner under utvikling og forvaltning. Tiden utviklerne har til rådighet, manglende kompetanse, trange budsjetter, strenge milepæler og mangel på fokus og testing av sikkerhet er årsaker til svakhetene. Secode tilbyr Applikasjons- og Kombinasjonstester med unik innsikt, erfaring og referanser.Ved tidsnød i utviklingsarbeidet får programmoduler ofte godkjenning når de inneholder spesifisert funksjonalitet uten at sikkerheten i dem blir testet tilstrekkelig. Det kan være en dyr erfaring å la Internettbrukerne stå for testingen. Applikasjonstester er lite kjent i markedet og mangelen på test av applikasjoner medfører at sikkerhetshull ikke oppdages. Secode har over en årrekke utviklet unik kompetanse på Applikasjonstesting og kombinerer verktøy med manuelle metoder. Vår erfaring er at det med høy sannsynlighet finnes sikkerhetshull i smale og spesialutviklede applikasjoner.
Testen vil gå igjennom påloggingsprosedyrer, utlogging og bruk/misbruk av tjenesten. Viktige aspekter inkluderer muligheter for brukere til å tilegne seg informasjon om eller fra andre brukere, sikkerhetshull som får tjenesten eller tjeneren til å gå ned, samt test av tilgang til fil- og systemområder på tjeneren. Secode benytter logiske sjekklister hvor applikasjonens objektive sikkerhetsnivå testes ut fra kjente metoder for inntrenging eller manipulasjon. Testene tilpasses den konkrete applikasjonens tekniske oppbygging. Resultater fra testen samles og bearbeides for presentasjon i en rapport. Svakheter og scenarier blir beskrevet med forslag til hvordan man bedrer sikkerheten i systemet.
Når og hvor utføres Applikasjonstest
Testene benyttes både på applikasjoner som er i bruk, og på applikasjoner i ulike stadier av utvikling. Smale og egenutviklede applikasjoner som tillater pålogging fra Internett er ofte en "glemt" del av den sikkerhetsmessige helheten. Selv om infrastrukturen og nettverket applikasjonen kjører i er godt sikret, tenker de færreste på at selve påloggingsgrensesnittet som eksponeres mot Internett som regel er lett å manipulere. Selve applikasjonen kan da med enkle midler gi full tilgang til nettverket til tross for sikringstiltakene i bedriften.
Utvikling av nye applikasjoner
Helt fra kravspesifisering, gjennom utvikling og før release er det fornuftig å ha Secode med som partner for å sikre at applikasjonen overholder sikkerhetskravene som stilles til den. Det er naturlig og kosteffektivt å ha Secode med under akseptansetest av ferdigutviklede applikasjoner.
| 
