侵入テスト-修復

侵入テストの取り組みは、たとえ徹底的であっても、セキュリティコントロールの有効性が不十分なすべてのインスタンスを網羅的に発見できるとは限りません。 アプリケーションの1つの領域でクロスサイトスクリプティングの脆弱性またはリスクを特定しても、アプリケーションに存在するこの脆弱性のすべてのインスタンスが完全に公開されるとは限りません。 この章では、修復の概念と有用性について説明します。

修復とは何ですか？

修復とは、間違いを置き換えて正しく設定するための改善を提供する行為です。 多くの場合、1つの領域に脆弱性が存在することは、他の場所で同様の脆弱性を複製または有効化できるプロセスまたは開発プラクティスの脆弱性を示している可能性があります。 したがって、修復中、テスターは、効果のないセキュリティ制御を念頭に置いて、テスト対象のエンティティまたはアプリケーションを慎重に調査することが重要です。

これらの理由により、それぞれの企業は、最初の侵入テスト後の妥当な期間内に、悪用可能な脆弱性を修正するための措置を講じる必要があります。 実際、会社がこれらの手順を完了するとすぐに、ペンテスターは再テストを実行して、元のリスクを軽減できる新しく実装されたコントロールを検証する必要があります。

最初のペンテスト後の長期間にわたる修復作業では、最新の環境の正確な結果を確保するために、新しいテストを実行する必要があります。 この決定は、元のテストが完了してからどれだけの変化が発生したかをリスク分析した後に行う必要があります。

さらに、特定の状況では、フラグが設定されたセキュリティ問題は、それぞれの環境またはアプリケーションの基本的な欠陥を示している場合があります。 したがって、再テストの範囲では、テストで特定された修復に起因する変更が重要と分類されるかどうかを考慮する必要があります。 すべての変更を再テストする必要があります。ただし、システム全体の再テストが必要かどうかは、変更のリスク評価によって決定されます。