02-Testing.pdf
-
Upload
alberto-zea-hd -
Category
Documents
-
view
214 -
download
1
Transcript of 02-Testing.pdf
![Page 1: 02-Testing.pdf](https://reader035.fdocumento.com/reader035/viewer/2022072001/563db7e7550346aa9a8f0aad/html5/thumbnails/1.jpg)
Lic. Cristian Borghello, CISSP – MVP
www.segu-info.com.ar
@seguinfo
@CursosSeguInfo
Desarrollo Seguro Orientado a OWASP Top 10
![Page 2: 02-Testing.pdf](https://reader035.fdocumento.com/reader035/viewer/2022072001/563db7e7550346aa9a8f0aad/html5/thumbnails/2.jpg)
Tipos deTesting
![Page 3: 02-Testing.pdf](https://reader035.fdocumento.com/reader035/viewer/2022072001/563db7e7550346aa9a8f0aad/html5/thumbnails/3.jpg)
Testing White Box (I)
• Requieren acceso al código fuente y comprender los objetivos del software y del negocio, pero se pueden realizar en cualquier momento del SDLC
• Se realiza con base en el conocimiento de cómo se implementa el sistema
• Incluyen el análisis de flujo de datos, prácticas de codificación, el control de errores y las excepciones
• Se prueba comportamiento intencionaly no intencional
![Page 4: 02-Testing.pdf](https://reader035.fdocumento.com/reader035/viewer/2022072001/563db7e7550346aa9a8f0aad/html5/thumbnails/4.jpg)
Testing White Box (II)
• Se realizan para validar si la aplicación sigue el diseño previsto, validar las funcionalidades implementadas, y descubrir vulnerabilidades
• El primer paso en la prueba es comprender y analizar la documentación de diseño disponibles, casos de usos, DFD, el flujo de datos y el código fuente, como mínimo
• Se debe pensar como un atacante yconocer las herramientas y técnicas disponibles
![Page 5: 02-Testing.pdf](https://reader035.fdocumento.com/reader035/viewer/2022072001/563db7e7550346aa9a8f0aad/html5/thumbnails/5.jpg)
Testing Black Box
• Se basa en obtener las especificaciones del software y comprender su funcionamiento, sin referencia ni conocimiento interno
• Se debe intentar realizar plus al White-Box• Además de para encontrar vulnerabilidades,
puede ser útil para detectar errores enrun-time y en el código compilado
![Page 6: 02-Testing.pdf](https://reader035.fdocumento.com/reader035/viewer/2022072001/563db7e7550346aa9a8f0aad/html5/thumbnails/6.jpg)
Análisis estático vs Dinámico
Estático: analiza el programa, su estructura y sus variables sin ejecutarlo para obtener información que será válida para todas las posibles ejecuciones (aproximado)Dinámico: recolecta información del programa conforme se está ejecutando (real-time y preciso). Útil para eliminar componentes innecesarios, compatibilidad conotro software y errores deentrada/salida