Güvenlik Testi, sistemin güvenlik açıklarını ortaya çıkarmak ve veri ve kaynaklarının olası davetsiz misafirlerden korunmasını sağlamak için sistemin izinsiz kullanım teşebbüslerindeki davranışlarının değerlendirilmesi için gerçekleştirilen testlerdir.
Güvenlik testi tasarımı ve uygulanmasında dikkate alınması gereken dört temel odak vardır (özellikle web siteleri / uygulamaları için) :
Ağ güvenliği: Bu, ağ altyapısındaki zayıf noktaları (kaynakları ve politikaları) aramakla ilgilidir.
Sistem yazılımı güvenliği: Bu, uygulamanın bağlı olduğu işletim sistemi, veritabanı sistemi ve diğer yazılımlardaki zayıflıkları içerir.
İstemci tarafı uygulama güvenliği: Bu, istemcinin (tarayıcı veya herhangi bir araç gibi) manipüle edilememesini sağlar.
Sunucu tarafı uygulama güvenliği: Bu, sunucu kodunun ve teknolojilerinin herhangi bir saldırıyı önlemek için yeterince sağlam olduğundan emin olmayı içerir.
Güvenlik testleri için en çok dikkat edilmesi gereken 10 güvenlik tehdidi:
Sızma (Injection)
Kırık Kimlik Doğrulama ve Oturum Yönetimi (Broken Authentication and Session Management)
Siteler Arası Komut Dosyası Çalıştırma (XSS) ( Cross-Site Scripting )
Güvensiz Doğrudan Nesne Kaynakları (Insecure Direct Object References)
Güvenlik Hatalı Yapılandırması (Security Misconfiguration)
Hassas Veri Eserleri (Sensitive Data Exposure)
Eksik İşlev Seviyesi Erişim Kontrolü (Missing Function Level Access Control)
Siteler Arası Talep Sahteciliği (CSRF) (Cross-Site Request Forgery )
Bilinen Hassas Bileşenleri Kullanma (Using Known Vulnerable Components)
Doğrulanmamış Yönlendirmeler ve İlerleme (Unvalidated Redirects and Forwards)
Bir yazılımı güvensizleştirmenin bir çok yol ve yöntemi vardır. Güvenli bir yazılım geliştirmenin ön koşulu güvenlikle ilgili yapılması gerekenleri daha yazılım tasarım ve geliştirme aşamasında yapmaktır. Daha sonra bu yapılanların etkinliğini güvenlik testleri ile değerlendirilmesi gerekir.