Test delle app Web o dei servizi Web?

0

Sto cercando di chiarire un dubbio sui test di sicurezza.

Se l'app Web (GUI, UI funzionali, ruoli utente e così via) utilizza i servizi Web di riposo per intraprendere azioni, credo che sia l'app Web che i servizi Web dovrebbero essere testati.

Il team del fornitore, tuttavia, insiste diversamente, e vuole solo che l'app web venga testata e lascia fuori i servizi web.

Qualcuno può confermare se sono corretto & entrambe le app web e amp; i servizi web devono essere rivisti? Thnx.

Aggiorna : Aggiunta di maggiori informazioni su questo.

Il venditore è una terza parte, che ha scritto questa app per uno dei nostri team. Il team mi ha chiesto indicazioni e i prossimi passaggi per garantire la sicurezza in questa app. Raccomando di fare un pentimento contro questa app (sia web app che servizi web), identificare i problemi di sicurezza e dire al venditore di sistemare le cose, invece di limitarmi a firmare un'app scritta male.

Il venditore insiste sul fatto che ci atteniamo alla sicurezza delle app Web e non ai servizi Web, poiché testare entrambi non è necessario.

    
posta Sunshine 13.11.2018 - 13:02
fonte

2 risposte

2

In termini di test di penetrazione / revisione della sicurezza, si desidera rivedere entrambi i componenti, poiché entrambi i componenti possono presentare diverse vulnerabilità. Il servizio Web deve essere protetto contro operazioni quali l'iniezione di SQL, l'attraversamento di percorsi, l'autenticazione interrotta e così via, mentre l'app Web deve essere protetta contro lo scripting cross-site.

Dovresti controllare OWASP Top 10 e dertimine che il vettore di attacco può / deve essere prevenuto nel backend e quali nel frontend.

Tutto sommato direi che un back-end sicuro è molto più importante di un frontend sicuro perché il frontend può essere facilmente aggirato con strumenti come il software Burp Suite o ZAP, quindi concentrati sul backend. Ma tieni presente che ci sono vettori che si applicano solo al frontend.

    
risposta data 13.11.2018 - 15:43
fonte
1

In quasi tutte le situazioni a cui posso pensare, sia la app Web che i servizi Web avrebbero bisogno di test di sicurezza ad un certo punto , ma questo non significa necessariamente che entrambi debbano (o, anche dovrebbero essere) testati come un'unica attività.

L' App Web è probabile che utilizzi solo alcuni dei servizi forniti dal Servizio Web (o, almeno, utilizzano quei servizi in modi particolari). Pertanto, testare il servizio Web richiederà di esercitarlo in modi che l' App Web non farebbe mai. Questo è un argomento strong per fare del test del servizio Web un esercizio in sé, distinto da come (una specifica) app Web fa uso di quei servizi.

Allo stesso modo, testare la App Web può implicare test su cose che non sono direttamente correlate ai servizi forniti dal Servizio Web . Di nuovo, un argomento per guardare la sicurezza della app Web in isolamento (moderato) al servizio Web .

Quindi: sì, sembra ragionevole chiedersi di guardare la sicurezza della app Web , più o meno lasciando il servizio Web fuori dall'immagine, fornito a qualcun altro o in un altro momento, la sicurezza del servizio Web viene esaminata.

    
risposta data 13.11.2018 - 15:07
fonte

Leggi altre domande sui tag