Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD
-
Upload
igor-carneiro -
Category
Software
-
view
179 -
download
1
Transcript of Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD
![Page 1: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/1.jpg)
O MAIOR EVENTO BRASILEIRO DE HACKING, SEGURANÇA E TECNOLOGIA
![Page 2: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/2.jpg)
Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD
Igor Carneiro
Analista de Testes
![Page 3: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/3.jpg)
Tópicos
* Ontem, Hoje e Amanhã;
* Aplicações Web;
* OWASP;
* Medidas de Segurança;
* BDD - Desenvolvimento Orientado a Comportamento;
* BDD e Testes de Segurança.
3
25/04/15
![Page 4: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/4.jpg)
ONTEM, HOJE E AMANHÃ…
4
25/04/15
![Page 5: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/5.jpg)
O que há de comum?
5
25/04/15
![Page 6: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/6.jpg)
Falhas de segurança no software e não…
6
25/04/15
![Page 7: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/7.jpg)
Isso é novo né?
7
25/04/15
![Page 8: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/8.jpg)
Não!!
8
25/04/15
![Page 9: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/9.jpg)
return(feeling);
9
25/04/15
![Page 10: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/10.jpg)
Deadline…
10
25/04/15
![Page 11: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/11.jpg)
Ei…
11
25/04/15
![Page 12: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/12.jpg)
Se deixar em segundo lugar vira…
12
… um problema
25/04/15
![Page 13: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/13.jpg)
APLICAÇÕES WEB
13
25/04/15
![Page 14: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/14.jpg)
Seja bem vindo, pode entrar!
* Aplicações Web em geral:
- Gerenciamento complexo
1. Uso de criptografia;
2. Restrições de acesso;
3. Prevenção contra Injeção de JavaScript, HTML, SQLi;
4. Prevenção contra ataques força bruta e;
5. Diversos frameworks.
14
25/04/15
![Page 15: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/15.jpg)
OWASP - OPEN WEB APPLICATION SECURITY PROJECT
15
25/04/15
![Page 16: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/16.jpg)
O que é a OWASP?
* A Fundação OWASP é uma entidade sem fins lucrativos focada na melhoria da segurança de software; Junte-se a nós!
16
25/04/15
![Page 17: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/17.jpg)
OWASP TOP 10 2013
17
25/04/15
![Page 18: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/18.jpg)
MEDIDAS DE SEGURANÇA
18
25/04/15
![Page 19: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/19.jpg)
Calma…
19
25/04/15
![Page 20: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/20.jpg)
Exemplos de medidas de segurança
* Testes de Segurança;
* Framework;
* SDLC - Ciclo de Desenvolvimento Seguro.
20
25/04/15
![Page 21: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/21.jpg)
Testes de Segurança
* Complexo;
* Quanto antes melhor (custo);
* Ter bem definido o escopo de testes.
2125/04/15
![Page 22: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/22.jpg)
Framework
* Pronto para uso;
* Especialistas.
2225/04/15
![Page 23: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/23.jpg)
SDL - Ciclo de Desenvolvimento Seguro
* Desenvolvimento seguro;
* Redução de custos;
* Maior credibilidade.
2325/04/15
![Page 24: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/24.jpg)
Review
* Ontem, Hoje e Amanhã;
* Aplicações Web;
* OWASP;
* Medidas de segurança.
2425/04/15
![Page 25: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/25.jpg)
BDD - DESENVOLVIMENTO ORIENTADO A COMPORTAMENTO
2525/04/15
![Page 26: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/26.jpg)
O que é o BDD?
* Técnica de desenvolvimento de software;
* Originalmente concebido em 2003 por Dan North;
* Resposta ao TDD (Evolução) e;
* Foco na entrega de valor.
2625/04/15
![Page 27: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/27.jpg)
Por que usar BDD?
* Encoraja a colaboração entre os envolvidos;
- QA;
- Desenvolvedores;
- Cliente;
* Descreve o comportamento de uma aplicação.
2725/04/15
![Page 28: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/28.jpg)
Como funciona o BDD?Features: representam em alto nível, as principais características do sistema.
Cenários: descrições de dos “test case”, com pré-requisitos, ações e resultado esperado.
Passos(steps): Interações entre agente externo (usuário/sistema) e o resultado esperado.
28
25/04/15
![Page 29: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/29.jpg)
Exemplo de especificação
Dado(given): Pré-condição;
E(and): condição;
Quando(when): ação;
Então(then): resultado esperado.
29
25/04/15
![Page 30: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/30.jpg)
BDD E TESTES DE SEGURANÇA
3025/04/15
![Page 31: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/31.jpg)
União do útil ao agradávelDado que sou[tipo de usuário]
E estou [em algum lugar da aplicação]
Quando eu [ação a realizar]
Então eu [resultado esperado]
Dado que sou[um usuário malicioso]
E estou [na tela de login]
Quando eu [utilizar o login e senha padrão de "admin"]
Então eu [terei acesso a aplicação como "administrador"]
31
25/04/15
![Page 33: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/33.jpg)
Feature
33
25/04/15
![Page 34: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/34.jpg)
Cenário de teste - CT 1
3425/04/15
![Page 35: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/35.jpg)
Cenário de teste - CT 2
35
25/04/15
![Page 36: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/36.jpg)
Automação dos cenários
36
CT 1
25/04/15
![Page 37: Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD](https://reader033.fdocument.pub/reader033/viewer/2022042817/55a9eef01a28ab99418b4593/html5/thumbnails/37.jpg)
Automação dos cenários
37
CT 2
25/04/15