Усилия по тестированию на проникновение — какими бы тщательными они ни были — не всегда могут обеспечить исчерпывающее обнаружение каждого случая, когда эффективность контроля безопасности недостаточна. Выявление уязвимости или риска межсайтового скриптинга в одной области приложения может не обязательно выявить все случаи этой уязвимости, присутствующие в приложении. Эта глава иллюстрирует концепцию и полезность исправления.
Что такое исправление?
Исправление — это предложение улучшения, чтобы заменить ошибку и исправить ее. Часто наличие уязвимости в одной области может указывать на слабость процессов или методов разработки, которые могли бы воспроизвести или включить аналогичную уязвимость в других местах. Поэтому при исправлении важно, чтобы тестировщик тщательно исследовал проверенный объект или приложения с учетом неэффективных мер безопасности.
По этим причинам соответствующая компания должна предпринять шаги для исправления любой уязвимости, которая может быть использована, в течение разумного периода времени после первоначального теста на проникновение. Фактически, как только компания выполнила эти шаги, тестер должен выполнить повторное тестирование, чтобы проверить вновь внедренные элементы управления, которые способны снизить первоначальный риск.
Усилия по исправлению, продолжающиеся в течение более длительного периода времени после первоначального ручного теста, возможно, требуют проведения нового тестирования, чтобы гарантировать точные результаты в самых современных условиях. Это определение должно быть сделано после анализа риска того, сколько изменений произошло с момента завершения первоначального тестирования.
Кроме того, в определенных условиях помеченная проблема безопасности может иллюстрировать основной недостаток в соответствующей среде или приложении. Поэтому в рамках повторного тестирования следует учитывать, классифицируются ли какие-либо изменения, вызванные исправлением, выявленными в ходе теста, как значимые. Все изменения должны быть проверены повторно; однако необходимость повторного тестирования всей системы будет определяться оценкой риска изменений.