RElatório 6

Relatório 6: Testes de Segurança e Instalação de Software Seguros

6.1 Plano de Teste

6.1.1 Objetivo

Documentar a sequência de testes, com o finalidade de manter um padrão para teste de segurança do software envolvendo SQL INJECTION, XSS (CROSS SITE SCRIPTING) e Buffer OverFlow.

6.1.2 Teste banco de dados

• Impossibilitar dados de entrada cadastrais caracteres especiais
• Verificar o código de consulta, e campos limitando caracteres especial, de modo a evitar sobrecarga no banco
• Verificar código de exclusão cadastral, impossibilitando exclusão de mais de um objeto além do desejado
• Edição de dados a modo de evitar inclusão de caracteres especiais
• Verificar códigos de geração de relatórios, para evitar travamento na hora da busca dos dados
• Verificar classes de conexão com o banco de dados de moto a proteger a integridade do mesmo
• Verificar tempo de expiração de sessão, e tempo de conexão do banco, na hora da consulta

6.1.3 Teste funcional

• Verificar se usuário acessa conta por login e senha
• Dados de login senha são atualizados periodicamente

• Verificar atualização dos dados e coerência da informação
• Teste de acesso realizados por login a nível de camadas

• Usuário sem senha
• Senha sem usuário
• Senha invalida
• Acesso com senha correta
• Duplicidade de usuário

• Nível de Administrador quanto a acesso dos dados de usuários cadastrados
• Teste de sequestro de sessão
• Teste de contexto HTML de forma a prevenir conteúdo ativo, revendo qualquer ação terceira inclusive redirecionamento maliciosos

• Corpo
• Atributo
• JavaScript
• CSS
• URL
• ActiveX
• Flash
• Silverlight

6.1.4 Interface do software

• Verificar objeto de uso funcional, se estão protegidos e claros para usuários
• Teste de legibilidade das orientações dos campos
• Verificar comportamento do software ou sistema em diferentes ambientes

• Caso desktop verificar comportamento em diferentes sistemas operacionais
• Caso web se sistema é funcional nos navegadores utilizados atualmente

• Verificar integridade dos dados julgando que qualquer ação proveniente do usuário seja suspeita
• Limitação de caracteres dos campos

• Limitação de caracteres devido a inserção limitada no banco ou no código utilizado no desenvolvimento
• Prevenir inconsistência nos campos, impossibilitando variáveis como tipo inteiro de receber string

6.1.5 Desempenho

• Verificar layout e trocas de telas
• Tempo de resposta do servidor
• Tempo de consulta e atualização de informações dentro da sessão
• Tempo de resposta de relatórios
• Tempo de resposta com 1 usuário em uso até o limite de máximo planejado
• Teste de sobrecarga de dados mediante a consulta e limite de usuário

6.2 Atribuições de privilégios

6.2.1 Windows

        Normalmente programas instalados em na plataforma Windows, quando não configurado corretamente, o mesmo pode apresentar erro na execução pelo fato de não ter privilégios necessários para executar funções como administrador. Opções de execução com “executar como”, ou runas não são solução pois senha de administrador não é fornecida a usuários.

...