Les proves de seguretat són un aspecte crític del procés de desenvolupament de programari, ja que asseguren que el sistema sigui resistent a atacs maliciosos i protegeixi la informació sensible dels usuaris. Aquest mòdul se centra en comprendre els conceptes bàsics de les proves de seguretat, les tècniques utilitzades i com implementar-les efectivament.

1. Identificar Vulnerabilitats: Detectar possibles punts febles en el sistema que podrien ser explotats per atacants.
2. Protegir Dades Sensibles: Assegurar que la informació confidencial estigui protegida contra accessos no autoritzats.
3. Garantir la Integritat del Sistema: Assegurar que el sistema funcioni com s'espera, fins i tot sota atacs.
4. Compliment Normatiu: Assegurar que el sistema compleixi amb les normatives i estàndards de seguretat aplicables.

• Descripció: Simulen atacs reals per identificar vulnerabilitats.
• Exemple: Un provador intenta accedir a dades restringides sense autorització.
• Tècniques:
  • Escaneig de vulnerabilitats
  • Enginyeria social
  • Anàlisi de configuració

• Descripció: Identifica i classifica les vulnerabilitats en el sistema.
• Exemple: Utilitzar eines automatitzades per escanejar el codi font a la recerca de vulnerabilitats conegudes.
• Eines: Nessus, OpenVAS

• Descripció: Avaluen la seguretat de la infraestructura de xarxa.
• Exemple: Comprovar la configuració del tallafocs per assegurar que només el trànsit autoritzat pugui passar.
• Tècniques:
  • Escaneig de ports
  • Anàlisi de trànsit de xarxa

• Descripció: Avaluen la seguretat de les aplicacions web.
• Exemple: Provar la resistència de l'aplicació a atacs de tipus SQL Injection.
• Eines: OWASP ZAP, Burp Suite

1. Planificació: Definir l'abast i els objectius de les proves de seguretat.
2. Anàlisi de Requisits: Entendre els requisits de seguretat del sistema.
3. Execució de Proves: Realitzar les proves utilitzant les tècniques i eines adequades.
4. Anàlisi de Resultats: Avaluar els resultats per identificar vulnerabilitats.
5. Informe i Recomanacions: Documentar les troballes i suggerir millores.

Objectiu: Realitzar una prova de penetració bàsica en una aplicació web de prova.

1. Configura un Entorn de Prova: Utilitza una aplicació web vulnerable com DVWA (Damn Vulnerable Web Application).
2. Escaneja la Vulnerabilitat: Utilitza una eina com OWASP ZAP per escanejar l'aplicació.
3. Identifica Vulnerabilitats: Revisa l'informe generat per l'eina per identificar vulnerabilitats.
4. Prova un Atac: Intenta explotar una vulnerabilitat identificada, com un SQL Injection.
5. Documenta els Resultats: Anota les vulnerabilitats trobades i les accions realitzades.

• Configuració: Instal·la DVWA en un servidor local.
• Escaneig: Executa OWASP ZAP i realitza un escaneig complet de l'aplicació.
• Identificació: Busca vulnerabilitats com SQL Injection o Cross-Site Scripting (XSS).
• Explotació: Intenta injectar codi SQL en un formulari de l'aplicació.
• Documentació: Crea un informe detallat amb captures de pantalla i descripcions de les vulnerabilitats.

• No Planificar Adequadament: Assegura't de definir clarament l'abast i els objectius abans de començar les proves.
• Ignorar les Actualitzacions de Seguretat: Mantingues el sistema i les eines de prova actualitzades per protegir-te contra les últimes amenaces.
• No Documentar Correctament: Documenta totes les troballes i accions per facilitar la correcció de vulnerabilitats.

Les proves de seguretat són essencials per garantir la protecció de les dades i la integritat del sistema. Mitjançant l'ús de tècniques i eines adequades, els provadors poden identificar i mitigar vulnerabilitats abans que siguin explotades per atacants. En el proper mòdul, explorarem les proves de rendiment, un altre aspecte crucial per assegurar la qualitat del programari.