Tests de régression sécurité avec Selenium

Magazine
Marque
MISC
Numéro
69
Mois de parution
septembre 2013
Spécialités


Résumé

Les tests logiciels sont nécessaires pour s'assurer du niveau de qualité de l'application développée. Dans le cadre des tests de sécurité, il est aussi possible d'intégrer des tests de régression sur des failles déjà découvertes. Ceci a pour but d'identifier les éventuelles régressions lors d'évolutions logicielles. Nous proposons dans cet article un exemple dans un contexte de tests de régression en environnement Web relatif aux failles XSS.


1. Introduction

Le domaine de l'assurance qualité (« Quality Assurance ») est extrêmement vaste et comprend (a minima) les éléments suivants :

- tests fonctionnels de fiabilité (« reliability ») : s'assurer que le logiciel fonctionne conformément à ce qui est attendu par la maîtrise d'ouvrage et le client final ;

- tests de robustesse (« resiliency ») : s'assurer que le logiciel résiste à des attaques le visant.

Les éléments ci-dessus peuvent aussi être complétés par d'autres critères de tests tels que la conformité à des normes ou standards, le respect de la vie privée ou encore le respect de l'environnement.

Dans la mise en œuvre d'un cycle de vie logiciel (« Software Development Life-Cycle »), la partie tests fonctionnels de fiabilité est obligatoire pour répondre aux besoins. Cette partie contient les tests unitaires, les tests d'intégration, les tests de régression et les tests logiques (e.g. parcours client).

La partie...

Cet article est réservé aux abonnés. Il vous reste 93% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Stocker ses secrets dans Git, une mauvaise pratique pouvant avoir de lourdes conséquences

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Spécialités
Résumé

Dans un rapport datant d’avril 2020, GitLab indique que 18 % des dépôts analysés sur gitlab.com comportaient des problèmes de gestion des secrets. Quelles peuvent être les conséquences liées à ces erreurs ? Quelle stratégie adopter pour gérer au mieux ses secrets ?

Zéro SQLi malgré les développeurs

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Spécialités
Résumé

Nous proposons une méthode pour effectuer des requêtes SQL qui garantit l'invulnérabilité aux injections SQL, y compris lorsqu'elle est utilisée par un développeur pressé ou incompétent, contrairement aux requêtes paramétrées. Basée sur l'utilisation d'arbres de syntaxe abstraite, elle permet facilement de construire des requêtes dynamiques et est plus facile à mettre en œuvre qu'un ORM. Nous proposons une bibliothèque Java implémentant nos idées, mais la méthode peut s'appliquer à d'autres langages de programmation et d'autres types de requêtes.