Las fallas lógicas no pueden ser detectadas por la automatización. Pruebas automatizadas de aplicaciones web configuradas para probar solo vulnerabilidades de OWASP.
El primer paso es identificar las reglas comerciales que le interesan y convertirlas en experimentos diseñados para verificar si la aplicación hace cumplir correctamente la regla comercial. Por ejemplo, si la regla es que las compras superiores a $ 1000 tienen un descuento del 10%, entonces las pruebas positivas y negativas deben diseñarse para garantizar que
- ) existe el control para implementar la regla de negocio,
- ) el control se implementa correctamente y no se puede omitir ni alterar, y
- ) el control se usa correctamente en todos los lugares necesarios
Ejemplo 1 :
- ¿Cuánto tiempo le tomaría a un principiante de programación aprender a escribir una aplicación de una sola página con backend?
- ¿Qué es importante para la experiencia del usuario y el diseño de aplicaciones / sitios web relacionados con la muerte?
- ¿Cuántas horas de programador tardó en construir kayak.com?
- ¿Alguna vez será popular Google Apps Marketplace?
- ¿Cómo se almacenan las páginas web en los servidores?
Supongamos que un sitio de comercio electrónico permite a los usuarios seleccionar artículos para comprar, ver una página de resumen y luego licitar la venta. ¿Qué sucede si un atacante puede volver a la página de resumen, mantener su misma sesión válida e inyectar un costo menor para un artículo y completar la transacción, y luego retirar?
Ejemplo 2
Retener / bloquear recursos y evitar que otros compren estos artículos en línea puede provocar que los atacantes compren artículos a un precio más bajo. La contramedida a este problema es implementar tiempos de espera y mecanismos para garantizar que solo se pueda cobrar el precio correcto.
Ejemplo 3
¿Qué sucede si un usuario pudo iniciar una transacción vinculada a su cuenta de club / lealtad y luego, después de que se hayan agregado puntos a su cuenta, cancelar la transacción? ¿Se seguirán aplicando los puntos / créditos a su cuenta?
Estos son solo algunos ejemplos y puede haber innumerables posibilidades que exploten tales fallas de una forma u otra.
Las pruebas de Pentration respaldadas por pruebas automatizadas son la mejor solución para encontrar todas las lagunas posibles.
