← Terug naar Kennisbank← Vorige vraagVolgende vraag →
Handmatige testen (IT)Tester, QA

Hoe voer je handmatige beveiligingstests van webapplicaties uit? Welke kwetsbaarheden moet je controleren en hoe documenteer je gevonden problemen?

Slaag voor sollicitatiegesprekken met de Hintsage AI-assistent

Antwoord.

Geschiedenis van de vraag

Met de toename van cyberaanvallen is de nadruk op beveiligingstests toegenomen. Zelfs voor handmatige testers is het belangrijk om standaardkwetsbaarheden te kunnen identificeren.

Probleem

Vaak beschouwen handmatige testers beveiligingskwesties alleen als het domein van automatiseringsspecialisten of beveiligingsexperts. Dit leidt tot het missen van elementaire bugs, die fataal kunnen zijn voor een bedrijf.

Oplossing

Handmatige beveiligingstests zijn pogingen om potentiële aanvallen na te bootsen vanuit het perspectief van een gewone gebruiker:

  • Controle op XSS, SQL-injectie, CSRF.
  • Manipulatie van cookies en sessies.
  • Pogingen om autorisatie en rechtenlimieten te omzeilen.

Alle gevonden problemen moeten verplicht worden gedocumenteerd volgens de "Bug-rapport"-sjabloon met een gedetailleerde beschrijving van de stap, de verwachte en werkelijke resultaten, evenals het aangeven van het kriticiteitsniveau.

Belangrijke kenmerken:

  • Gebruik maken van eenvoudige handmatige technieken (parameters in de URL wijzigen, probeer gevaarlijke waarden in te voeren).
  • Controle van standaardkwetsbaarheden uit de OWASP Top 10.
  • Noodzaak voor communicatie met DevOps/Backend om duidelijkheid te krijgen over hoe fouten worden afgehandeld en welke logs worden gegenereerd.

Vragen met een valstrik.

Kan een handmatige aanpak alle kritieke kwetsbaarheden in de applicatie identificeren?

Nee. Een handmatige benadering maakt het mogelijk om voor de hand liggende kwetsbaarheden te vinden, maar voor volledige dekking zijn geautomatiseerde scanners en pentests nodig.

Is het voldoende om alleen het inlogformulier en wachtwoord voor de beveiligingstest te controleren?

Nee. Alle functionele modules moeten worden gecontroleerd, vooral de modules die gegevens wijzigen/opslaan, interacties met API's, bestandsuploads en toegangsbewerkingen.

Moet een tester verstand hebben van HTTP-verzoeken en -antwoorden als het gaat om handmatige beveiligingstests?

Ja. Werken met hulpmiddelen zoals DevTools, Postman of Fiddler is de sleutel tot het vinden van beveiligingsproblemen handmatig.

Typische fouten en anti-patronen

  • Beveiligingstests beperken zich tot inloggen en registreren.
  • Kwetsbaarheden negeren als ze niet direct konden worden geëxploiteerd.
  • Niet documenteren van gevonden kwetsbaarheden in strijd met de normen voor bugrapportages.

Voorbeeld uit het leven

Negatieve casus

De tester controleerde alleen de inlogfunctie op XSS, zonder andere gebruikersformulieren en URL-parameters te testen.

Voordelen:

  • Snel uitgevoerde eerste lijn test.

Nadelen:

  • Een kritieke kwetsbaarheid in het gebruikersprofiel gemist, waar een SQL-injectie kon worden uitgevoerd.

Positieve casus

De tester controleerde systematisch alle invoervelden, wijzigde parameters in verzoeken, beschreef de bevindingen gedetailleerd in het bugrapport en nam contact op met DevOps voor advies over foutafhandeling.

Voordelen:

  • Onverwachte XSS en kwetsbaarheid van gegevens toegang ontdekt.
  • Volledige transparantie van het probleem voor het team.

Nadelen:

  • Meer tijd besteed aan deze test, maar het vertrouwen in de kwaliteit is verhoogd.