1. Inicio
  2. Pregunta y respuesta
  3. Java Security Testing

Java Security Testing

2011-09-21 22 views
5

¿Existe alguna prueba de seguridad automatizada en Java? Si es así, ¿cómo se implementa? ¿Son solo las pruebas JUnit escritas para tratar de explotar las vulnerabilidades conocidas del servidor, o son sus marcos de prueba centrados en la seguridad?Java Security Testing

Como paso, también estoy interesado en este Framework de Pruebas de Seguridad de OWASP, pero no puedo decir si están usando "framework" en un sentido clásico (es decir, un conjunto de pautas y procedimientos a seguir), o en un contexto de software (donde en realidad proporcionan componentes de prueba de seguridad automatizados).

¡Gracias a cualquiera que pueda arrojar algo de luz sobre esto para mí!

Fuente

2011-09-21 IAmYourFaja

Respuesta

4

No sé exactamente lo que estás buscando, pero hay una publicación de Stephen Colebourne (autor de joda-time y futura nueva API java8 date-time) sobre cómo probar los permisos de seguridad con junit: Stephen Colebourne's blog: Testing a security permission

prueba

Fuente

2011-09-21 15:08:57

+0

Hola Ivan, gracias y voy a comprobar que el artículo fuera. Mientras tanto, lo que estoy buscando es la respuesta a esto: ¿uno usa JUnit para escribir pruebas de seguridad, o hay otro marco que (específicamente) se dirige a problemas de seguridad? Si es así, ¿es OWASP uno de ellos? – IAmYourFaja

3

pelusa nunca está de más: http://www.ibm.com/developerworks/java/library/j-fuzztest/index.html

prueba pelusa le ayuda a asegurarse de que su aplicación es segura contra cualquier oportunidad para la entrada del usuario.

Las pruebas de fuzz son un tanto incómodas para las pruebas JUnit de alguna manera, porque son "aleatorias". Es posible que desee realizar un ciclo y ejecutar una serie de pruebas de fuzz en cada avenida de entrada en un banco de pruebas.

Fuente

2011-09-21 15:56:10

1

Las herramientas como Sonar y FindBugs también pueden ser una forma automatizada de encontrar al menos algunos problemas de seguridad (FindBugs es bastante efectivo para encontrar riesgos de inyección de SQL y tal).

Fuente

2012-04-29 14:23:04

1

Hay herramientas comerciales tales como VeraCode que hacen escaneo de seguridad. No trabajo para ellos, pero mi empresa lo usa. Parece bastante completo.

Fuente

2013-02-16 21:59:22 Glen

1

La prueba de seguridad automatizada es difícil pero eso no significa que no valga la pena hacerlo.

Mi sugerencia para aplicaciones web: use las pruebas existentes de Unidad e Integración (como Selenium) y luego utilícelas mediante una herramienta de seguridad como OWASP ZAP (Zed Attack Proxy). Ver http://code.google.com/p/zaproxy/wiki/SecRegTests para más detalles.

Simon (ZAP jefe de proyecto)

Fuente

2013-02-19 08:24:16

+0

Sí, Zed Attack Proxy (ZAP) es una buena herramienta para la prueba de penetración –

Cuestiones relacionadas

 Cuestiones relacionadas