PTWA: Úvod

Žijeme v době, kdy masivní rozmach webových aplikací zasahuje téměř do všech oblastí lidského života. Bez internetu a jeho pravděpodobně nejdůležitější součásti World Wide Webu si dnes život již téměř nedokážeme představit. Přes webové stránky běžně sháníme informace, komunikujeme s přáteli, hrajeme multiplayerové hry a nakupujeme v e-shopech. Běžně dnes již také přes webové rozhraní řídíme chod výrobních a obchodních společností, spravujeme své a firemní finance nebo řídíme chod nejrůznějších strojů a zařízení.

Přestože je doba desktopových aplikací na ústupu, přinesla s sebou jednu velmi důležitou věc, totiž nutnost testování softwaru. To se díky nim stalo běžnou součástí životního cyklu aplikace. Žádná softwarová společnost si dnes nedovolí vydat program bez jeho důkladného otestování. Každému totiž rychle dojde, že vydání softwaru, který podává jiné výsledky, než jaké jsou od něj očekávány, neustále padá, nebo z něj samovolně mizí důležitá data, by mělo pro tuto softwarovou společnost katastrofální dopady. Společnost, která by takový software vypustila, by musela věnovat nemalé prostředky na následnou opravu chyb, přičemž tyto dodatečné náklady by mohly klidně i několikanásobně překročit objem finančních prostředků, které byly na celý projekt vyčleněny. Mezi další dopady, které by na společnost vydání neotestovaného softwaru mělo, lze zařadit nespokojenost zákazníků, ztrátu jejich důvěry a nelichotivé reference, které by mohly mít za následek dokonce i zánik společnosti, která tento software vytvořila.

Z tohoto důvodu je běžnou praxí, že je každý software před svým vydáním důkladně otestován na přítomnost chyb. A to tak, že jsou ověřeny všechny funkční i mimofunkční požadavky kladené na tento software. Minimálně ve větších softwarových společnostech bychom tak vedle vývojového oddělení měli najít také oddělení kvality (QA), které je za správné a důkladné testování zodpovědné.

Přestože v této příručce poskytnu z důvodu komplexnosti také letmý úvod do řízení kvality softwaru, není rozhodně mým cílem probrat tuto oblast příliš detailně. Na toto téma totiž byla vydána již řada knih a to i v českém jazyce. Záměrem této příručky je v prvé řadě rozšířit povědomí v oblasti testování softwaru o další specifickou část, kterou je bezpečnost. V tomto směru je totiž situace daleko neutěšenější a česká vydavatelství tak mají ještě hodně co dohánět. O publikace zaměřené na testování softwaru z pohledu bezpečnosti na pultech českých knihkupectví totiž nezavadíte a to i přesto, že se bezpečnost aplikací a dat stává stále důležitější, a tím pádem na ni začíná být kladen stále větší důraz. Osobně se v této publikaci zaměřím na sektor testování bezpečnosti webových aplikací, protože jak již bylo zmíněno, spravují dnes aplikace komunikující s obsluhou skrz webová rozhraní, velkou část kritických procesů a zasahují do nejdůvěrnějších oblastí lidského života. Udržovat data v konzistentním stavu a v bezpečí před neoprávněným přístupem, se tak stává jedním z hlavních požadavků kladených na moderní webové aplikace.

Velkou část práce v tomto směru již odvedla nezisková organizace Open Web Application Security Project (OWASP), která shromažďuje a zveřejňuje informace o bezpečnostních hrozbách, které webové aplikace ohrožují. Komunita soustředěná kolem OWASPu vyvíjí také nejrůznější nástroje usnadňující bezpečnostní testování nebo vydává studijní materiály a příručky pro vývojáře a testery. Jednou z příruček, které na stránkách projektu OWASP můžete najít, je například OWASP Testing Guide, jenž je aktuálně dostupná již ve své čtvrté verzi.

Tato testovací příručka od OWASPu je brána za jakýsi standard při provádění penetračních testů, a tato publikace proto bude z jejího textu částečně vycházet. Při psaní jsem ale ve značné míře vycházel také z vlastních bohatých zkušeností, díky čemuž bude obsah této příručky obohacen i o takové zranitelnosti a testovací případy, které v příručce OWASPu nenajdete. Zvolena bude také jiná struktura, než na jakou jste možná zvyklí z obdobných zahraničních titulů, neboť mi z praktických důvodů přijde pro samotné testování mnohem vhodnější.

Tato publikace si klade za cíl nabídnout Vám přehledný a ucelený pohled na oblast bezpečnostního testování webových aplikací a na zranitelnosti, které tyto aplikace ohrožují. Neměla by proto v žádném případě uniknout zájmu těch, kteří mají s vývojem webových aplikací a s jejich zabezpečením co dočinění. Ať už se jedná o vývojáře, testery softwaru, nebo ostatní členy QA týmů, profesionály v oblasti penetračního testování, nebo o vedoucí projektů, všichni by zde měli najít množství informací, které budou pro jejich práci důležité a povedou ke zvýšení bezpečnosti vyvíjených aplikací.