2.2 Енугетестілеу әдісі Қазіргі уақытта енуге тестілеу сияқты осалдықтарды анықтаудың мұндай әдісі ең тиімді болып табылады. Ол шабуылдың ықтимал жолдарын анықтауға және веб - қосымшаның ымыраласуына жол бермеуге мүмкіндік береді. Енуге тестілеу әдісі сыртқы пайдаланушы, яғни әлеуетті шабуылшы тарапынан веб-бағдарламаны қарауға қолайлы. Шабуылдаушының тек әдеттегі пайдаланушы сияқты мүмкіндіктері бар деп есептеледі, яғни конфигурациялық баптауларға, веб-қосымшаның бағдарламалық кодтарына ешқандай рұқсаты жоқ және т. б. Бұл әдіс шабуылдаушының іс-әрекетіне ұқсас қате сұраныстарды қамтитын пайдаланушылық белсенділікті модельдейтін сұраныстарды жіберу арқылы веб-қосымшаның стендінде толық жұмыс істейтін веб-қосымшаларды тестілеуді жүзеге асырады.
Веб-бағдарламада осалдықтарды анықтау үшін енуді тестілеу әдісін қолданғанда үш негізгі тапсырма пайда болады:
веб-бағдарламаның зерттелген және жасалған құрылымы негізінде тестілік HTTP сұраулар жиынтығын жасау;
қауіпсіздік осалдығын анықтау үшін веб-бағдарламаның жауаптарын талдай отырып, оны айдап өту арқылы тестілік жиынтығын сынау.
Тапсырма веб-бағдарламаның құрылымын зерттеу және талдау веб- қосымшаның толық URI тізімін, параметрлер тізімін және оларға кіру әдістерін жасау, аутентификациямен қорғалған URI табу болып табылады. Бұл мәліметтер веб-бағдарламаға тестілік сұраныстар тізімін құру үшін қажет. Веб- бағдарламаның құрылымын автоматты түрде шығару үшін желілік роботтар қолданылады. Егер веб-бағдарламаның статикалық HTML беттері бар болса, жұмыс барлық қол жетімді сілтемелерді айналып өту, ал скрипттер мен
формалар болған жағдайда - скриптерден гиперсілтемелер алу және формаларды толтыру болып табылады. Веб-бағдарламаның толық құрылымын зерттеу және алу барлық жағдайларда мүмкін емес - негізгі мәселе скрипттерді интерпретациялау және веб-формаларды толтыру кезінде пайда болады.
Веб-формаларды 2 топқа бөледі:
Мәндердің шектеулі салалары бар компоненттерді қамтитын формалар (option, selection және т. б.).
Мәндердің шексіз салалары бар компоненттерді қамтитын формалар (textarea).
типті формаларды жөнелтумен байланысты беттерді айналып өту және талдау осы формадағы өрістер мәндерінің барлық ықтимал комбинацияларын кезекпен орындау арқылы жүзеге асырылады. Шексіз мәндерді қабылдайтын формаларды айналып өту үшін келесі екі тәсілді қолданады: автоматтандырылған немесе қолмен. Процесті қолмен басқару үшін адамға беріледі. Автоматтандырылған тәсілде эвристикалық әдістер, HiWE VeriWeb сияқты сөздіктерде негізделген мәтіндік өрістерді толтыру қолданылады. Шексіз мән аймағы бар элементтерді қамтитын формалар үшін автоматтандырылған амалды пайдаланғанда, бағдарламаның барлық URI анықтауға кепілдік берілмейді. Скрипт тілінің құралдарымен жасалатын сілтемелерді қамтитын беттерді автоматты түрде аралау кезінде тек интерпретациялау ғана емес, сондай-ақ белгілі бір оқиғаларды қалыптастыру мақсатында пайдаланушы жасайтын әрекеттерді эмуляциялау қажеттілігі бар. Қазіргі уақытта бар скрипті тілдерін интерпретациялау құралдары барлық гиперсілтемелерді анықтауға кепілдік бере алмайды.
Веб-бағдарламаға сұраныстардың тестілік жинағын жасау міндеті бастапқы деректерге (кіру әдістері, қабылданатын параметрлер, URI тізімі) сәйкес сұраныстарды мүмкіндігінше осалдықтар табу үшін таңдау болып табылады. Мұндай сұраныстарды құрудың қолданыстағы тәсілдері төменде қарастырылған:
Веб-бағдарлама каталогтарының параметрлерін талдау веб- бағдарламаның құрылымына сәйкес веб-сервер мен веб-қосымшаның дұрыс емес конфигурациясымен ұштасқан типтік осалдықтар тексеріледі. Бұл тәсілге каталогтар индексін автоматты түрде құру мүмкіндігін тексеру, HTTP-әдістерін орындау, аутентификация облыстарынан тікелей ресурстарға жүгіну мүмкіндігі, веб - қосымшаның бастапқы кодтарын алу мүмкіндігі жатады. Тестілік жинағы және веб-сервердің жауаптарын талдау мақсаты осы HTTP- сұраныстар веб-қосымшада осалдықтың болуын немесе болмауын көрсету туралы дұрыс қорытынды жасау болып табылады. Бұл әдіс HTTP протоколы бойынша жұмыс істейді және веб-бағдарлама жазылған технологияға тәуелді емес.
Типтелген параметрлері бар шаблон бойынша сұрауларды генерациялау шаблон параметрлері типтелген әрбір URI үшін жасалады. Бұдан әрі белгілі бір параметрлердің мәндерін кездейсоқ таңдау арқылы берілген үлгіге сәйкес сұраныстарды автоматты түрде генерациялау жүзеге асырылады. Бұл әдіс пайдаланушы енгізген деректердің дұрыстығын тексеру қателерін анықтау үшін қолданылуы мүмкін. Бұл әдіс веб-бағдарлама жасалған технологияға байланысты емес, өйткені тек HTTP протоколының терминдерінде жұмыс істейді.
Ресурстар базасы бойынша сұраныс құру веб-қосымшада болуы мүмкін ресурстар базасы бар деп болжайды. Базадағы веб-қосымшада белгілі бір ресурстың болуы осы ресурсқа қол жеткізу мүмкіндігімен байланысты осалдықты білдіреді. Мысалы, веб-қосымшада белгілі осал CGI сценарийлері мен веб-сервердің конфигурациялық файлдарының аттары бар. Ресурстарды іздеу веб-бағдарламаның барлық құрылымы бойынша жүзеге асырылады. Барлық каталогтарға кезек тәртібінде ресурстар базасындағы барлық атаулар сұралады. Ресурстар базасы бойынша сұраныс құру тәсілі толығымен автоматты және веб-қосымшалар үшін тән осалдықтар туралы жинақталған ақпаратқа негізделеді. Бұл әдіс идентификациялаушы ақпаратты алу әдістемесінде жоғарыда қарастырылған шектеулер бар, алайда бұл әдіс әкімшілер мен бағдарламалаушылардың типтік қателіктеріне негізделген веб- бағдарламаның жаңа осалдығын анықтауға мүмкіндік береді.
Енуге тестілеу әдісінің артықшылықтары.
Енуге тестілеу әдісі басқа әдістерге қарағанда веб -қосымшаны әзірлеу технологиясына байланысты едәуір аз. Бұл әдіс шабуылдарға төзімділікті бағалауға, сондай-ақ бар кемшіліктерді анықтауға және қорғаныс құралдарын жақсарту жолдарын анықтауға мүмкіндік береді. Енуді тестілеу әдісі әзірленген веб-қосымшалардың осалдығын анықтау үшін кеңінен қолданылады, веб - қосымшаны жасау және баптау кезінде ең болмағанда типтік қателердің кемшіліктерін бағалау қажет болғанда қолдану жақсы нәтижелерге алып келеді. Бұл әдістің сөзсіз артықшылығы, ол кодтау қателерін ғана емес, веб-бағдарлама мен веб-вервердің конфигурация қателерін де анықтай отырып, баптаудан өткен және кеңейтілген веб - бағдарламаны бағалауға мүмкіндік береді.
Енуге тестілеу әдісінің кемшіліктері.
Осалдықтардың барлық түрлерін анықтауға кепілдік бере алмайды.