URN_NBN_SI_DOC-RKSH48DC

SIR * IUS, september 2020 12 uporabljenih tehnologijah. Smiselno je tudi ustrezno beležiti vse napake, da se lahko potem pri težavah lažje odkrijejo napake v delovanju aplikacije. Revizorjem informacijskih sistemov lahko zgoraj naštete kontrole pomagajo pri reviziji aplikacije, saj jim lahko služijo kot dobre oporne točke za preveritev varnostnih mehanizmov, ki jih aplikacije uporabljajo. Služijo pa lahko tudi kot dobra opora za aktivnosti, ki so jih razvijalci pozabili upoštevati pri razvoju programskih rešitev. 8. OWASP Web Security Testing Guide (WSTG) Ta projekt [4] je tudi eden izmed stebrov OWASP-a. Je podroben vodnik izvedbe testiranja spletnih aplikacij in storitev. Primarno je namenjen razvijalcem spletnih aplikacij in njihovim testerjem. Koristen pa je lahko tudi revizorjem informacijskih sistemov, saj podrobno opisuje različne načine varnostnega testiranja aplikacij. Tako se lahko revizorji informacijskih sistemov seznanijo s področji in načinom testiranja ter preverijo, ali se pri razvoju izvaja ustrezno testiranje. WSTG predvideva naslednja področja: • Information Gathering, • Configuration and Deployment Management Testing, • Identity Management Testing, • Authentication Testing, • Authorization Testing, • Session Management Testing, • Input Validation Testing, • Testing for Error Handling, • Testing for Weak Cryptography, • Business Logic Testing, • Client Side Testing. Poleg dokumentacije za testiranje spletnih strani je na podlagi vedno večjega zanimanja za mobilne aplikacije OWASP pripravil tudi Mobile Security Testing Guide (MSTG). Ta dokument je posebej namenjen testerjem in drugim, ki se ukvarjajo z varnostjo mobilnih aplikacij. Znotraj tega dokumenta so obdelana naslednja poglavja: • podrobnosti mobilnih platform, • varnostno testiranje v življenjskem ciklu razvoja mobilne aplikacije, • statična in dinamična varnostna analiza, • vzvratno inženirstvo mobilnih aplikacij, • dostop in onemogočanje programskih omejitev.