Zum Testen gehört auch die Security
Neben den funktionalen und nicht-funktionalen Tests (z.B. Last und Performance) sollte auch eine Überprüfung der Security der Anwendung in das Projektvorhaben eingeplant werden.
Dabei bietet sich vor allem ein Penetration Test an, der bereits grundlegende Aussagen zur Sicherheit der Anwendung liefern kann. Speziell Anwendungen mit Web-Schnittstellen bzw. -Anbindung stellen häufig Angriffspunkte für Attacken dar (Denial-of-Service, unberechtigter Zugang, etc.). Durch den Penetration-Test erfolgt eine aktive Analyse der Anwendung, um möglichst viele und risikoreiche Schwachstellen zu identifizieren.
Leistungen
Es wird unter anderem festgestellt, inwiefern ein unberechtigter Benutzer über eine der extern erreichbaren Schnittstellen entweder ohne Zugangsdaten an sensible Daten kommt, aus dem vorhandenen Berechtigungs- und Usagekontext ausbrechen oder Serverkomponenten sowie andere Benutzer des Systems ausspionieren und angreifen kann.
Im Fokus stehen unter anderem folgende Szenarien:
- Vermeidung von unberechtigtem Zugriff auf bzw. unberechtigter Manipulation von Kunden-Daten
- Check der erreichbaren Komponenten
- Konfiguration und Release-Stand der Komponenten im Hinblick auf Security-Issues
Nutzen
- Security Checks helfen, Schwachstellen in einer immer komplexer werdenden IT Anwendungslandschaft aufzudecken und somit folgenschwere Probleme durch unzulässige Zugriffe auf Daten zu vermeiden. Je komplexer und sensitiver die Anwendung ist, umso detaillierter wird beim Security Check vorgegangen.