Upload
alberto-zea-hd
View
214
Download
1
Embed Size (px)
Citation preview
Lic. Cristian Borghello, CISSP – MVP
www.segu-info.com.ar
@seguinfo
@CursosSeguInfo
Desarrollo Seguro Orientado a OWASP Top 10
Tipos deTesting
Testing White Box (I)
• Requieren acceso al código fuente y comprender los objetivos del software y del negocio, pero se pueden realizar en cualquier momento del SDLC
• Se realiza con base en el conocimiento de cómo se implementa el sistema
• Incluyen el análisis de flujo de datos, prácticas de codificación, el control de errores y las excepciones
• Se prueba comportamiento intencionaly no intencional
Testing White Box (II)
• Se realizan para validar si la aplicación sigue el diseño previsto, validar las funcionalidades implementadas, y descubrir vulnerabilidades
• El primer paso en la prueba es comprender y analizar la documentación de diseño disponibles, casos de usos, DFD, el flujo de datos y el código fuente, como mínimo
• Se debe pensar como un atacante yconocer las herramientas y técnicas disponibles
Testing Black Box
• Se basa en obtener las especificaciones del software y comprender su funcionamiento, sin referencia ni conocimiento interno
• Se debe intentar realizar plus al White-Box• Además de para encontrar vulnerabilidades,
puede ser útil para detectar errores enrun-time y en el código compilado
Análisis estático vs Dinámico
Estático: analiza el programa, su estructura y sus variables sin ejecutarlo para obtener información que será válida para todas las posibles ejecuciones (aproximado)Dinámico: recolecta información del programa conforme se está ejecutando (real-time y preciso). Útil para eliminar componentes innecesarios, compatibilidad conotro software y errores deentrada/salida