Simon says to wisely test security

Ce se întâmplă când pui în aceeași propoziție Tabăra de Testare și OWASP? Se întâmplă un webinar cu însuși Simon Bennetts. Simon și-mai-cum? Simon Bennetts, acel membru al Mozilla Security Team și al OWASP, lead al unor proiecte ca Zed Attack Proxy sau Bodge It Store. Da, da, chiar el… Cu sprijinul mozillienilor, miercurea trecută l-am avut în calitate de content owner la cea de-a 20-a ediție a Taberei din Cluj.

Pentru prima întâlnire cu membrii comunității de testare din Cluj, Simon a pregătit un conținut adecvat pentru profilul cel mai des întâlnit printre participanții TdT, respectiv pentru testerul care în mod uzual verifică funcționalitățile unei aplicații. Iar asta pentru că el crede că tot mai mulți specialiști din IT ar trebui să cunoască această nișă a testării securității aplicațiilor. Cu atât mai mult cu cât transferul de abilități de la testarea funcționalității la testarea securității ar fi unul orizontal: dacă în primul caz, noi, testerii, ne comportăm ca utilizatori aflați în cazuri limită sau dincolo de traiectoria predefinită, în testarea securității trebuie să ne transpunem în rolul atacatorului care, la fel, exersează căi atipice pentru a „sparge” aplicația. Așadar, dispunem de un mindset potrivit. Ceea ce însă diferă este specificul testelor (sau mai bine zis, al atacurilor), care pot fi tehnice sau logice. Cât de tehnice sau logice am văzut mai departe, când Simon ne-a trecut prin fiecare dintre cele zece cele mai critice riscuri privind securitatea aplicațiilor web, evaluate în cadrul proiectului OWASP Top Ten. Și oh, da, ce teren de joacă vast pentru un tester de securitate!

Dar stați să vedeți ce jucării are… Simon ne-a arătat câteva dintre funcționalitățile pe care le are ZAP, insistând pe ideea că, pentru a nu încălca legea, este foarte important să îl folosim pe aplicații pe care avem voie să le testăm. Putem începe cu cele în mod deliberat vulnerabile, cum este Bodge It Store, magazinul online în care Simon ne-a arătat, printre altele, cum putem cumpăra produse într-o cantitate… negativă. Totuși, ni s-a exemplificat și de ce trebuie să fim cumpătați în privința tool-urilor automate, de ce e important să verificăm și manual o aplicație și de ce să nu uităm că în testarea securității nu există panacee.

Mulțumiți să fi avut o prezentare introductivă așa faină, cu demo și tot ce ne trebuie, l-am bombardat pe Simon cu întrebări preț de vreo 20 de minute, probabil având în gând prima întrebare ridicată de colegul nostru, Robin: When do we start?