Az alábbi feladatban biztonsági tesztelést kell végrehajtani egy webre átírt korábban vastag klienses alkalmazáshoz. A biztonsági tesztelés speciális szaktudást igénylÅ‘ terület, de az alapokkal nem árt, ha minden tesztelÅ‘ rendelkezik. A feladat nem lesz nagyon nehéz, nem kérünk hacker ismereteket, csak funkcionális biztonságra és a legismertebb nem funkcionális jellegű támadásformákra kell gondolni. Feltételezhetjük, hogy a website megfelelÅ‘ tanúsítvánnyal rendelkezik és biztonságos SSL alapú kapcsolaton érhetÅ‘ el, biztonságos szolgáltató, megfelelÅ‘ biztonságú tárhelyén található.
Az alábbi email érkezik a tesztelési vezetÅ‘tÅ‘l.
“Sziasztok,
mint tudjátok, múlt héten élesben elindult az új online hitelminÅ‘sítÅ‘ rendszerünk elsÅ‘ modulja. Amíg nem készül el a teljes rendszer, a felhasználóknak párhuzamosan kell használniuk a régi vastag kliens és az új webes kliens alapú rendszert is. De nemcsak a kliensek különböznek, hanem a két rendszer teljesen független egymástól: más adatbáziskezelÅ‘ és szerver oldali technológia van mögöttük, biztonsági okokból semmilyen online kapcsolat nincs a két rendszer között.
Az új rendszer a következÅ‘ címen érhetÅ‘ el: http://www.teszteloverseny.hu/feladat9/index.php
Éles induláskor az összes felhasználó bejelentkezési információit (felhasználónév, jelszó, egyéb adatok) áttöltöttük a régi rendszerbÅ‘l az újba. Biztonsági okokból a regisztráció captcha-val védve van, a használt captcha formátuma számunkra kellÅ‘en biztonságos, nem kell összetettebb.
Kérlek jelezzetek minden a régi és új rendszerben talált biztonsággal kapcsolatos problémát, egyéb funkcionális észrevételek most nem érdekesek. A vélt problémákat tömören, felsorolás jelleggel foglaljátok össze egy dokumentumba.
EgyelÅ‘re csak a regisztráció, bejelentkezés, jelszóváltoztatás és elfelejtett jelszó funkciókkal kell foglalkozni az új rendszerben. Nektek külön regisztrálnotok kell ide is.
Üdvözlettel,
CsonTos ALadár TaMás”
Kapcsolódó URL
http://www.teszteloverseny.hu/feladat9/index.php
Feladatot készítette:
Bujdosó Géza – Masterfield Oktatóközpont
Gyúri Attila – Masterfield Oktatóközpont
Mizsák Krisztián – Masterfield Oktatóközpont
Feladathoz kapcsolódó fogalmak:
Forrás:
Szoftvertesztelés egységesített kifejezéseinek gyűjteménye 3.1
HTB-Hungarian Testing Board
Magyar SzoftvertesztelÅ‘i Tanács Egyesület
biztonság: a szoftvertermékek azon tulajdonságai/attribútumai, amik a programokhoz és adatokhoz való jogosulatlan hozzáférést elÅ‘zik meg. A hozzáférés lehet szándékos vagy akár véletlen is [security]
biztonsági teszt: olyan teszt, amivel a szoftvertermék biztonságát határozzuk meg [security testing, safety testing]
|