Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD

285 visualizações

Publicada em

Palestra apresentada no ROADSEC Manaus. (2015)

Publicada em: Software
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
285
No SlideShare
0
A partir de incorporações
0
Número de incorporações
5
Ações
Compartilhamentos
0
Downloads
3
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD

  1. 1. O MAIOR EVENTO BRASILEIRO DE HACKING, SEGURANÇA E TECNOLOGIA
  2. 2. Especificação e Automação de Testes de Segurança Utilizando a Técnica BDD Igor Carneiro Analista de Testes
  3. 3. Tópicos * Ontem, Hoje e Amanhã; * Aplicações Web; * OWASP; * Medidas de Segurança; * BDD - Desenvolvimento Orientado a Comportamento; * BDD e Testes de Segurança. 3 25/04/15
  4. 4. ONTEM, HOJE E AMANHÃ… 4 25/04/15
  5. 5. O que há de comum? 5 25/04/15
  6. 6. Falhas de segurança no software e não… 6 25/04/15
  7. 7. Isso é novo né? 7 25/04/15
  8. 8. Não!! 8 25/04/15
  9. 9. return(feeling); 9 25/04/15
  10. 10. Deadline… 10 25/04/15
  11. 11. Ei… 11 25/04/15
  12. 12. Se deixar em segundo lugar vira… 12 … um problema 25/04/15
  13. 13. APLICAÇÕES WEB 13 25/04/15
  14. 14. Seja bem vindo, pode entrar! * Aplicações Web em geral: - Gerenciamento complexo 1. Uso de criptografia; 2. Restrições de acesso; 3. Prevenção contra Injeção de JavaScript, HTML, SQLi; 4. Prevenção contra ataques força bruta e; 5. Diversos frameworks. 14 25/04/15
  15. 15. OWASP - OPEN WEB APPLICATION SECURITY PROJECT 15 25/04/15
  16. 16. O que é a OWASP? * A Fundação OWASP é uma entidade sem fins lucrativos focada na melhoria da segurança de software; Junte-se a nós! 16 25/04/15
  17. 17. OWASP TOP 10 2013 17 25/04/15
  18. 18. MEDIDAS DE SEGURANÇA 18 25/04/15
  19. 19. Calma… 19 25/04/15
  20. 20. Exemplos de medidas de segurança * Testes de Segurança; * Framework; * SDLC - Ciclo de Desenvolvimento Seguro. 20 25/04/15
  21. 21. Testes de Segurança * Complexo; * Quanto antes melhor (custo); * Ter bem definido o escopo de testes. 21 25/04/15
  22. 22. Framework * Pronto para uso; * Especialistas. 22 25/04/15
  23. 23. SDL - Ciclo de Desenvolvimento Seguro * Desenvolvimento seguro; * Redução de custos; * Maior credibilidade. 23 25/04/15
  24. 24. Review * Ontem, Hoje e Amanhã; * Aplicações Web; * OWASP; * Medidas de segurança. 24 25/04/15
  25. 25. BDD - DESENVOLVIMENTO ORIENTADO A COMPORTAMENTO 25 25/04/15
  26. 26. O que é o BDD? * Técnica de desenvolvimento de software; * Originalmente concebido em 2003 por Dan North; * Resposta ao TDD (Evolução) e; * Foco na entrega de valor. 26 25/04/15
  27. 27. Por que usar BDD? * Encoraja a colaboração entre os envolvidos; - QA; - Desenvolvedores; - Cliente; * Descreve o comportamento de uma aplicação. 27 25/04/15
  28. 28. Como funciona o BDD? Features: representam em alto nível, as principais características do sistema. Cenários: descrições de dos “test case”, com pré-requisitos, ações e resultado esperado. Passos(steps): Interações entre agente externo (usuário/sistema) e o resultado esperado. 28 25/04/15
  29. 29. Exemplo de especificação Dado(given): Pré-condição; E(and): condição; Quando(when): ação; Então(then): resultado esperado. 29 25/04/15
  30. 30. BDD E TESTES DE SEGURANÇA 30 25/04/15
  31. 31. União do útil ao agradável Dado que sou[tipo de usuário] E estou [em algum lugar da aplicação] Quando eu [ação a realizar] Então eu [resultado esperado] Dado que sou[um usuário malicioso] E estou [na tela de login] Quando eu [utilizar o login e senha padrão de "admin"] Então eu [terei acesso a aplicação como "administrador"] 31 25/04/15
  32. 32. Case de exemplo 32 http://testphp.vulnweb.com/ 25/04/15
  33. 33. Feature 33 25/04/15
  34. 34. Cenário de teste - CT 1 34 25/04/15
  35. 35. Cenário de teste - CT 2 35 25/04/15
  36. 36. Automação dos cenários 36 CT 1 25/04/15
  37. 37. Automação dos cenários 37 CT 2 25/04/15
  38. 38. Obrigado! Twitter: @IgorRibeiroo E-mail: igor.ribeiro.carneiro@gmail.com LinkedIn: http://br.linkedin.com/in/igorcarneiro

×