Sunceva

Тестирование
веб приложений
и API

Веб приложения во многих организациях играют важную роль. Интернет-магазины, личные кабинеты пользователей в банках, государственных и медицинских учреждениях должны обеспечивать бесперебойную работу веб-сервисов и необходимый уровень защиты данных. Чем больше возможностей в веб-приложении и чувствительных данных, таких как личная информация пользователей, платежные данные, тем больше внимания требуется к безопасности.

Веб приложения
То же самое относится и к API (Application Programming Interface). Такие приложения позволяют различным системам взаимодействовать друг с другом. Тестирования API во многом схожы, однако, в зависимости от реалиации API (SOAP/REST/XML/GraphQL и др) тесты отличаются. Тестирование может проводиться от имени аутенцифированного пользователя и неаутенцифированного.

Во время тестирования изучается логика и функционал приложения, проверяются ошибки дизайна и проектирования. Пристальное внимание уделяется уязвимостям из OWASP Top 10.

API
Конкретные примеры проверок:
• Тестирование процесса регистрации и входа в систему. Проверка возможностей захвата чужой учетной записи.
• Тестирование регистрации и входа в систему. Проверка возможности захвата чужой учетной записи.
• Проверка безопасности сессии пользователей: конфигурация, хранение сессии.
• Проверка наличия у пользователей несанкционированного доступа к данным других пользователей.
• Проверка повышения привилегий в веб-приложении.
• Проверка защиты от атак методом перебора (брут форс): форма авторизации, одноразовые пароли и т.д.
• Проверка инъекционных атак: SQL инъекции, межсайтовый скриптинг (XSS) и другие.
• Обход и злоупотребление бизнес-логикой в ​​приложении.
• Проверка безопасности передачи данных: TLS.
Остались вопросы?
Если у вас остались вопросы, то можете заполнить форму, оставив свои контактные данные и мы свяжемся с вами
в ближайшее время. Консультация бесплатна.
Sunceva
Подпишитесь на новости нашей компании
Контакты