בדיקות תוכנה גם בכובע של אבטחת מידע
בעידן 2015 אנו מצפים מבודקי התוכנה הסתכלות על המוצרים בראיית End 2 End, כלומר:
בדיקות הסבה
בדיקות ממשקים
בדיקות פונקציונליות (תהליכים עסקיים שהמוצר נותן עליהם פתרון)
בדיקות עומסים על צד השרת
בדיקות GUI על צד הלקוח
וכדומה…
אחד מהנושאים החמים ביותר הוא בדיקות מצד אבטחת המידע, עולם הסייבר מתרחב (לאחרונה קראנו כי צה"ל מקים זרוע של סייבר נפרדת מחייל התקשוב)
אז כמובן שיש חברות המתמחות ב- Penetration test – מבדקי חדירה, המחפשים חולשות באבטחת מידע באירגון / מוצר.
נפצל את הבדיקות ל 2:
1. בדיקות מסוג אבטחת מידע תשתיתי
2. בדיקות מסוג אבטחת מידע אפליקטיבי
כמובן שבשתי הבדיקות יש מקום לשלב כלים אוטו' ולדעת לקודד, אבל אנחנו נתרכז דווקא באבטחת מידע אפליקטיבי ובצד החולשות האפשריות בתחום העסקי.
כלומר:
דוגמא 1: אם הפלט צריך להראות לי דוח המשויך למשתמש שלי, אנסה לגרום למערכת לצאת למקומות שהיא לא ציפתה על ידי הזנת ערכים שגויים ולא סטנדרטים.
דוגמא 2: אם קיים תהליך המעביר נתונים באמצעות קובץ / URL אנסה להתערב באמצע ואכניס פרמטרים אחרים.
מקרה לקוח – בדקנו את אחת מאפליקציות הרשת הגדולות למזון מהיר, ומצאנו כי הקופונים שנשלחו ב SMS ללקוח כחלק מה URL שמרו גם את מספר הקופון, במשחק קטן הצלחנו להגיע גם לקופונים שלא נשלחו אלינו כמובן ולהשתמש בהם.
כמובן שהנושא תוקן.
זקוקים לבודקי תוכנה מקצועיים – נשמח לעמוד לרשותכם: 052-4563655
TesQA 