Tests de régression sécurité avec Selenium

Magazine
Marque
MISC
Numéro
69
Mois de parution
septembre 2013
Domaines


Résumé

Les tests logiciels sont nécessaires pour s'assurer du niveau de qualité de l'application développée. Dans le cadre des tests de sécurité, il est aussi possible d'intégrer des tests de régression sur des failles déjà découvertes. Ceci a pour but d'identifier les éventuelles régressions lors d'évolutions logicielles. Nous proposons dans cet article un exemple dans un contexte de tests de régression en environnement Web relatif aux failles XSS.


1. Introduction

Le domaine de l'assurance qualité (« Quality Assurance ») est extrêmement vaste et comprend (a minima) les éléments suivants :

- tests fonctionnels de fiabilité (« reliability ») : s'assurer que le logiciel fonctionne conformément à ce qui est attendu par la maîtrise d'ouvrage et le client final ;

- tests de robustesse (« resiliency ») : s'assurer que le logiciel résiste à des attaques le visant.

Les éléments ci-dessus peuvent aussi être complétés par d'autres critères de tests tels que la conformité à des normes ou standards, le respect de la vie privée ou encore le respect de l'environnement.

Dans la mise en œuvre d'un cycle de vie logiciel (« Software Development Life-Cycle »), la partie tests fonctionnels de fiabilité est obligatoire pour répondre aux besoins. Cette partie contient les tests unitaires, les tests d'intégration, les tests de régression et les tests logiques (e.g. parcours client).

La partie...

Cet article est réservé aux abonnés. Il vous reste 93% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Zéro SQLi malgré les développeurs

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Nous proposons une méthode pour effectuer des requêtes SQL qui garantit l'invulnérabilité aux injections SQL, y compris lorsqu'elle est utilisée par un développeur pressé ou incompétent, contrairement aux requêtes paramétrées. Basée sur l'utilisation d'arbres de syntaxe abstraite, elle permet facilement de construire des requêtes dynamiques et est plus facile à mettre en œuvre qu'un ORM. Nous proposons une bibliothèque Java implémentant nos idées, mais la méthode peut s'appliquer à d'autres langages de programmation et d'autres types de requêtes.

Introduction à QBDI et ses bindings Python

Magazine
Marque
MISC
Numéro
109
Mois de parution
mai 2020
Domaines
Résumé

Le présent article traite de l'outil d'instrumentation dynamique QBDI. C'est un framework de DBI (Dynamic Binary Instrumentation), comparable à d'autres projets publics tels qu’Intel PIN, Valgrind ou encore DynamoRIO. Avant d'entrer dans le vif du sujet, quelques rappels peuvent s'avérer nécessaires…