Diferença de teste Estático e Dinâmico

As duas metodologias abordam as aplicações de maneira muito diferente. Eles são mais eficazes em diferentes fases do ciclo de vida de desenvolvimento de software (SDLC) e encontram diferentes tipos de vulnerabilidades. Por exemplo, o SAST (Teste Estático) detecta vulnerabilidades críticas, como cross-site scripting (XSS), injeção de SQL e estouro de buffer anteriormente no ciclo de desenvolvimento. O DAST (teste dinâmico), por outro lado, usa uma abordagem de teste de penetração externa para identificar vulnerabilidades de segurança enquanto os aplicativos da Web estão em execução.

IG_SASTvsDAST_011918

As técnicas SAST e DAST se complementam. Ambos precisam ser realizados para testes abrangentes.

Para SAST eu estou mais acostumado com Sonarqube ou checkmarks, para DAST costumo usar muito o Burp, ferramenta bem conhecida pela galera de Teste de Invasão. Tem o Acunetix também que faz DAST e é bem conhecida. Totalmente free, para DAST eu gosto do Zap Proxy.

Anúncios

Teste de penetração em Sistema Biométrico

Essa guia esta explicando a necessidade de incluir dispositivos biométricos, no âmbito de uma auditoria de rede e os procedimentos que poderiam ser usados para auditoria de segurança em tal sistema. O documento explica ambos os ataques locais e remotos e os procedimentos para realizar detecção de vulnerabilidades, exploração e elaboração de relatórios.

O sistema biométrico de impressões digitais está se desenvolvendo rapidamente e as de sistemas biométricos implantado está aumentando dia a dia, juntamente com a quantidade de informação vital é exploração. E isso traz a necessidade de incluir estes dispositivos para a lista de dispositivos submetido a um Teste de Invasão/Auditoria de segurança.

Sistemas de impressão digital biométrico têm várias vantagens sobre os métodos clássicos baseado em cartões de senha e ID. Estes sistemas são consideradas eficazes e rápidos. As vantagens deste sistema em relação aos sistemas tradicionais são muito elevados. Apesar dos muitos sistemas vantagens biométricos tem poucos pontos fracos, como uma impressão digital) O seu não é um exemplo segredo: qualquer um poderia ter uma cópia de sua impressão digital b) é uma senha única vez, uma vez roubados não pode ser redefinido para um novo valor . Além disso, os vetores de ataque diferente de um sistema biométrico são numerados e mencionada no diagrama.

Apresentado em Nullcon 2011: http://www.nullcon.net

Baixar: http://www.4shared.com/office/5-ot0oAD/Null_Hacking_Biometrics.html

Video:

Teste de Penetração

Fonte:Bhior