¿Pruebas de aplicaciones web o servicios web?

0

Estoy tratando de aclarar una duda sobre las pruebas de seguridad.

Si la aplicación web (GUI, interfaces de usuario funcionales, roles de usuario, etc.) utiliza los servicios web de Rest para realizar acciones, creo que tanto la aplicación web como los servicios web deben probarse.

El equipo del proveedor, sin embargo, insiste en lo contrario, y solo quiere que la aplicación web se pruebe, y deja los servicios web fuera.

¿Puede alguien por favor confirmar si soy correcto y amp; aplicación web y amp; servicios web deben ser revisados? Thnx.

Actualizar : Agregando más información sobre esto.

El proveedor es un tercero, que ha escrito esta aplicación para uno de nuestros equipos. El equipo me ha pedido las instrucciones y los próximos pasos para garantizar la seguridad en esta aplicación. Recomiendo que hagamos un pentest contra esta aplicación (tanto la aplicación web como los servicios web), identifiquemos los problemas de seguridad y le indiquemos al proveedor que arregle las cosas, en lugar de que simplemente me cierre la sesión en una aplicación mal escrita.

El proveedor insiste en que mantengamos la aplicación web pentest y no la seguridad de los servicios web, ya que no es necesario probar ambos.

    
pregunta Sunshine 13.11.2018 - 13:02
fuente

2 respuestas

2

En términos de una prueba de penetración / revisión de seguridad, usted desea revisar ambos componentes, ya que ambos componentes pueden tener diferentes vulnerabilidades. El servicio web debe ser seguro contra cosas como la inyección de SQL, la trayectoria del camino, la autenticación interrumpida, etc., mientras que la aplicación web debe ser segura contra los scripts entre sitios.

Debe consultar el OWASP Top 10 y dertimine, que se puede / debe evitar el vector de ataque en la Backend y que en el frontend.

En resumen, diría que un backend seguro es mucho más importante que un frontend seguro, ya que el frontend se puede evitar fácilmente con herramientas como burp suite o ZAP, así que concéntrate en el backend. Pero tenga en cuenta que hay vectores que solo se aplican a la interfaz.

    
respondido por el Alex 13.11.2018 - 15:43
fuente
1

En casi cualquier situación que se me ocurra, tanto la aplicación web como el servicios web necesitarían pruebas de seguridad en algún momento , pero eso no significa necesariamente que ambos necesiten (o, incluso deberían ser probados) como una sola tarea.

Es probable que la aplicación web use solo algunos de los servicios que proporciona el servicio web (o, al menos, use esos servicios de maneras particulares). Por lo tanto, probar el servicio web requerirá ejercitarlo de manera que la aplicación web nunca lo haría. Ese es un argumento sólido para hacer que la prueba del Servicio web sea un ejercicio en sí mismo, distinto de cómo (una específica) Aplicación web hace uso de esos servicios.

Del mismo modo, probar la aplicación web puede implicar probar cosas que no están directamente relacionadas con los servicios proporcionados por el servicio web . De nuevo, un argumento para considerar la seguridad de la aplicación web en (moderado) aislamiento del servicio web .

Entonces: sí, parece razonable que se le pida que mire la seguridad de la Aplicación web , más o menos dejando al Servicio web fuera de la imagen. proporcionó a otra persona, o en algún otro momento, se revisa la seguridad del Servicio web .

    
respondido por el TripeHound 13.11.2018 - 15:07
fuente

Lea otras preguntas en las etiquetas