Test bảo mật và kiểm soát truy cập tập trung vào hai lĩnh vực bảo mật chính:
- Bảo mật ở mức ứng dụng, bao gồm truy cập dữ liệu và các chức năng nghiệp vụ
- Bảo mật ở mức hệ thống, bao gồm truy cập vào hệ thống hoặc truy cập từ xa
- Bảo mật mức ứng dụng đảm bảo rằng, dựa trên bảo mật đã yêu cầu, người dùng bị hạn chế sử dụng một số chức năng hoặc tình huống sử dụng, hoặc bị hạn chế trong giới hạn dữ liệu phù hợp với họ. Ví dụ, mọi người có thể được phép nhập dữ liệu để tạo account nhưng chỉ có người quản lý có thể xóa chúng. Nếu là bảo mật ở mức dữ liệu, việc test đảm bảo rằng “người dùng nhóm 1” có thể nhìn thấy các thông tin khách hàng, bao gồm dữ liệu tài chính, tuy nhiên “người dùng nhóm 2” chỉ nhìn thấy các thông tin chung chung cho cùng một khách hàng.
- Bảo mật mức hệ thống đảm bảo rằng chỉ những người dùng được cho quyền truy cập vào hệ thống mới có khả năng truy cập vào ứng dụng và chỉ bằng các cổng thích hợp

Mục đích test:
- Bảo mật mức ứng dụng: Đảm bảo rằng một người dùng chỉ có thể truy cập vào những chức năng hoặc dữ liệu mà nhóm người dùng đó được phép
- Bảo mật mức hệ thống: Đảm bảo rằng chỉ những người được phép truy cập hệ thống và ứng dụng được phép truy cập chúng

Cách thực hiện: Bảo mật ứng dụng: Xác định và liệt kê từng nhóm người dùng và các chức năng hoặc dữ liệu mà họ được phép truy cập
- Tạo test case cho mỗi nhóm người dùng và kiểm tra từng quyền bằng cách tạo các giao dịch xác định cho mỗi nhóm
- Sửa lại nhóm người dùng và chạy lại tình huống test cho cùng những người dùng. Với mỗi trường hợp, kiểm tra các chức năng thêm vào hoặc dữ liệu có đúng không hay bị từ chối.
- Truy cập mức hệ thống: tham khảo các điều kiện đặc biệt dưới đây

Điều kiện hoàn thành:
- Với mỗi nhóm người dùng đều có các chức năng hoặc dữ liệu thích hợp, và toàn bộ các chức năng giao dịch đều như dự kiến và chạy trong các test chức năng ứng dụng trước đó

Các vấn đề đặc biệt: Truy cập vào hệ thống phải được xem xét hoặc thảo luận với quản trị hệ thống hoặc quản trị mạng, có thể không cần nếu nó là chức năng của quản trị mạng hoặc quản trị hệ thống
Share
Related Documents
  1. How to Test Application Security – Web and Desktop Application Security Testing Techniques (3618)
  2. Penetration Testing, Is it right for you? (1400)
  3. Penetration 101 – Introduction to becoming a Penetration Tester (1593)
  4. [Magazine] Palisade : focuses on application security (1050)
  5. State of Software Security Report Volume 1 (1001)
  6. Software Security Exam Questions (3584)
  7. Security Acts - the Magazine for IT Security (set 1) (913)
  8. [Ebook] The Art of Software Security Testing: Identifying Software Security Flaws (11585)
  9. 2011-03-14, SANS Singapore 2011 @ Singapore (940)
  10. [Free] BFBTester : Brute Force Binary Tester (2123)
  11. SQL Injection for newbie (2318)
  12. [Ebook] Linux 101 Hacks (3168)
  13. [PodCast] Security Testing (104M) (1042)
  14. CGISecurity : Web Server and Application Database website (870)
  15. Security Acts - the Magazine for IT Security (set 2) (945)
  16. Software Security Assurance (2045)
  17. Network Penetration Testing (1909)
  18. [Free] SiteDigger : vulnerabilities, errors, configuration issues, proprietary information, and interesting security testing tool (5333)
  19. CCNA Pre-assessment Test (2010)
  20. OWASP Top 10 - 2010 (Security Testing) (2037)