Những nỗ lực kiểm thử phần mềm thâm nhập - tuy có thể triệt để - có thể luôn luôn đảm bảo một khám phá toàn diện về mọi trường hợp trong đó hiệu quả của kiểm soát an ninh là không đủ.
Xác định lỗ hổng hoặc rủi ro kịch bản chéo trang trong một khu vực của ứng dụng có thể không chắc chắn phơi bày tất cả các trường hợp của lỗ hổng này có trong ứng dụng. Chương này minh họa khái niệm và tiện ích của khắc phục.
Khắc phục hậu quả là một hành động đưa ra một cải tiến để thay thế một sai lầm và đặt nó đúng. Thông thường sự hiện diện của lỗ hổng trong một khu vực có thể cho thấy sự yếu kém trong quá trình hoặc thực tiễn phát triển có thể đã nhân rộng hoặc kích hoạt lỗ hổng tương tự ở các vị trí khác.
Do đó, trong khi điều chỉnh lại, điều quan trọng là người kiểm thử phải điều tra cẩn thận thực thể hoặc ứng dụng được kiểm thử phần mềm có kiểm soát bảo mật không hiệu quả.
Vì những lý do này, công ty tương ứng nên thực hiện các bước để khắc phục mọi lỗ hổng có thể khai thác trong một khoảng thời gian hợp lý sau khi kiểm thử thâm nhập ban đầu.
Trên thực tế, ngay sau khi công ty hoàn thành các bước này, người kiểm thử bút nên thực hiện kiểm thử lại để xác thực các kiểm soát mới được thực hiện có khả năng giảm thiểu rủi ro ban đầu.
Các nỗ lực khắc phục kéo dài trong một thời gian dài hơn sau khi thử nghiệm bút ban đầu có thể yêu cầu thực hiện cam kết thử nghiệm mới để đảm bảo kết quả chính xác của môi trường hiện tại nhất.
Quyết định này nên được thực hiện sau khi phân tích rủi ro về mức độ thay đổi đã xảy ra kể từ khi thử nghiệm ban đầu được hoàn thành.
Hơn nữa, trong các điều kiện cụ thể, vấn đề bảo mật được gắn cờ có thể minh họa một lỗ hổng cơ bản trong môi trường hoặc ứng dụng tương ứng.
Do đó, phạm vi kiểm thử lại nên xem xét liệu có bất kỳ thay đổi nào gây ra bởi việc khắc phục được xác định từ thử nghiệm được phân loại là đáng kể hay không.
Tất cả các thay đổi nên được kiểm thử lại; tuy nhiên, việc kiểm thử phần mềm lại toàn bộ hệ thống có cần thiết hay không sẽ được xác định bằng đánh giá rủi ro của các thay đổi.
Xác định lỗ hổng hoặc rủi ro kịch bản chéo trang trong một khu vực của ứng dụng có thể không chắc chắn phơi bày tất cả các trường hợp của lỗ hổng này có trong ứng dụng. Chương này minh họa khái niệm và tiện ích của khắc phục.
 |
| Kiểm thử phần mềm |
Khắc phục hậu quả là gì?
Khắc phục hậu quả là một hành động đưa ra một cải tiến để thay thế một sai lầm và đặt nó đúng. Thông thường sự hiện diện của lỗ hổng trong một khu vực có thể cho thấy sự yếu kém trong quá trình hoặc thực tiễn phát triển có thể đã nhân rộng hoặc kích hoạt lỗ hổng tương tự ở các vị trí khác.
Do đó, trong khi điều chỉnh lại, điều quan trọng là người kiểm thử phải điều tra cẩn thận thực thể hoặc ứng dụng được kiểm thử phần mềm có kiểm soát bảo mật không hiệu quả.
Vì những lý do này, công ty tương ứng nên thực hiện các bước để khắc phục mọi lỗ hổng có thể khai thác trong một khoảng thời gian hợp lý sau khi kiểm thử thâm nhập ban đầu.
Trên thực tế, ngay sau khi công ty hoàn thành các bước này, người kiểm thử bút nên thực hiện kiểm thử lại để xác thực các kiểm soát mới được thực hiện có khả năng giảm thiểu rủi ro ban đầu.
Các nỗ lực khắc phục kéo dài trong một thời gian dài hơn sau khi thử nghiệm bút ban đầu có thể yêu cầu thực hiện cam kết thử nghiệm mới để đảm bảo kết quả chính xác của môi trường hiện tại nhất.
Quyết định này nên được thực hiện sau khi phân tích rủi ro về mức độ thay đổi đã xảy ra kể từ khi thử nghiệm ban đầu được hoàn thành.
Hơn nữa, trong các điều kiện cụ thể, vấn đề bảo mật được gắn cờ có thể minh họa một lỗ hổng cơ bản trong môi trường hoặc ứng dụng tương ứng.
Do đó, phạm vi kiểm thử lại nên xem xét liệu có bất kỳ thay đổi nào gây ra bởi việc khắc phục được xác định từ thử nghiệm được phân loại là đáng kể hay không.
Tất cả các thay đổi nên được kiểm thử lại; tuy nhiên, việc kiểm thử phần mềm lại toàn bộ hệ thống có cần thiết hay không sẽ được xác định bằng đánh giá rủi ro của các thay đổi.
Không có nhận xét nào:
Đăng nhận xét