Spelling suggestions: "subject:"säkerhetstestning"" "subject:"säkerhetstesting""
1 |
Testning av kryptomodulerLarsson, Daniel January 2009 (has links)
<p>Testning är en viktig process vid tillverkning av alla typer av system. Traditionellt har testning utförts föratt verifiera att ett system fungerar på ett korrekt sätt. Vid tillverkning och testning av kryptomodulerräcker det dock inte med att verifiera att systemet fungerar korrekt utan testerna måste även visa attsystemet är tillräckligt säkert d.v.s. att det uppfyller de säkerhetskrav som användare och utvecklare ställerpå systemet.I de flesta fall är det dock inte möjligt att bevisa att ett system är säkert och felfritt då det ofta finnsoändligt många attackmöjligheter och oändligt många insignalskombinationer (testfall). För att visa att ettsystem med så stor sannolikhet som möjligt är säkert och felfritt krävs att testaren kan välja lämpligatestingsmetoder och vettiga delmängder av testfall att utföra. Detta kan vara en mycket svår uppgift och ärofta särskilt besvärlig vid säkerhetstestning.Det finns ingen ultimat testningsmetod som alltid fungerar och det finns heller inget ultimattillvägagångssätt som fungerar bra på alla system. Ett alternativ är att låta en riskanalys ligga till grund förhur testningen ska utföras. En riskanalys kan visa vilka delar av systemet som är extra känsliga, vilkatestfall som bör ha högst prioritet m.m. Ett annat alternativ är att använda Federal Information ProcessingStandard 140-X (2) som är en amerikansk standard för kryptomoduler och beskriver vilka tester sommåste utföras för att uppfylla standarden.</p>
|
2 |
Penetrationstester : Offensiv säkerhetstestningBostorp, Carl-Johan January 2006 (has links)
<p>Penetrationstester är ett sätt att utifrån ett angreppsperspektiv testa datasäkerhet. Denna rapport tar upp ett antal vanliga sårbarhetstyper att leta efter, och föreslår metoder för att testa dem. Den är skapad för att vara ett stöd för organisationer som vill starta en egen penetrationstestverksamhet. I rapporten ingår därför förutom sårbarhetstyper att leta efter, även de viktigaste typer av verktyg och kompetenser som behövs. Även förslag på administrativa rutiner och en grov skiss på utförandet finns med. I sista kapitlet finns sedan en diskussion om hur rapporten kan ligga till underlag för fortsatt arbete och hur penetrationstester använder sig av/relaterar till ett par närliggande områden såsom kryptering och intrångsdetektering. Det hela avslutas med en liten analys på när penetrationstester är användbara, vilket är när de antingen är helautomatiserade och bara kontrollerar ett fåtal sårbarheter, eller när kostnaden för ett intrång skulle bli väldigt stor.</p>
|
3 |
CE-märkning av lyftdon / CE Marking of Elevating GearsHosseini Vafa, Babak, Kader, Berwa January 2014 (has links)
Examensarbetet har genomförts på smidesföretaget Bharat Forge Kilsta AB under cirka två månaders tid med målet att CE-märka tre omärkta lyftdon som väntat på att sättas i arbete. Projektet startade med en nulägesbeskrivning där information från företaget och litteratur samlades. Bl.a. erhölls information om krav, material och tidigare arbete. Även handledarna på Örebro Universitet bidrog med mycket kunskap. Sedan fortsatte arbetet med ett antal moment i nedanstående ordning. · Framtagning av ritning: Det befintliga lyftdonet skissades upp för hand och ritningar för respektive lyftdon skapades utifrån skissen. · Hållfasthetsanalys: Hållfastheten på lyftdonen kontrollerades genom att både hand- och datorberäkningar genomfördes för att se spänningar och deformationer i lyftdonen. · Maskinsäkerhetsanalys: Risker och fel analyserades vid användandet av lyftdonen för att faran de medför skall uppskattas till olika nivåer. Informationen samlades i en PHA. · Avstämning mot standard (AFS 2008:3): EG-direktiven måste följas och kraven från standarden kontrollerades för respektive lyftdon. · Statisk provning: För att säkerställa att lyftdonen klarar av påfrestningarna testades de var för sig i företagets testcentrum genom att respektives testlast lyftes. · Allmän bruksanvisning: Hur lyftdonen bör användas är väldigt viktigt för att förebygga olyckor och feltolkningar. Därför finns nu anvisningar om säkerhet, installation, drift, underhåll och skrotning för lyfttängerna i en allmän bruksanvisning för lyfttänger. · EG-försäkran om överensstämmelse för maskiner: När alla delar i CE-märkning godkändes avslutades CE-märkningen med ett påskrivet intyg om att allt stämmer. · Skylt för CE-märkt lyftdon: För att bevisa CE-märkningen skapas en skylt med förbestämd information om respektive lyftdon. Då klarläggs vilka produkter som är säkra. När allt var klart skapades det en handbok på hur arbetet bör gå till för en effektiv och tydlig arbetsgång vid CE-märkning. Detta lämnas vidare för fortsatt arbete till hen som skall fortsätta CE-märka resterande lyftdon på företaget. I samband med att hen CE-märker skapas förhoppningsvis ett organiserat arbete och det blir enklare att sammanställa och följa allt. I och med CE-märkningen skapas en säkrare och hälsosammare arbetsmiljö vilket indirekt leder till en bättre värld att leva i hälso-, säkerhets- och miljömässigt. Men tanken med märkningen är däremot inte att det ska vara ett kvalitetsmärke. / The examination paper has been performed in cooperation with the forging company Bharat Forge Kilsta AB during two months. The goal was set to CE-mark three elevating gears which were unmarked and unusable at that moment. The project began with a current situation analysis by collecting information from literature and the company. Among others, information about demands, material and previous CE-marking was received. Moreover, the instructors at Orebro University contributed with great knowledge. Subsequently, the work continued with a couple of steps as mentioned below. · Producing drawing: The existing elevating gears were traced and drawing for each elevating gear was made. · Strength analysis: The strength of the elevating gears were controlled through measurements by hand and by computer separately. The results were compared with each other to see tensions and deformations within the elevating gears. · Machine assurance analysis: Risks and errors were analysed when using the elevating gears. The hazards were estimated at different ranks in a Preliminary Hazard Analysis. · Harmonization of standards (AFS 2008:3): EC-directives must be followed and the demands in the standards were controlled for each elevating gear. · Static testing: To ensure that the elevating gears can withstand the tensions they need to be tested at the company’s test central by lifting each elevating gear with a test load. · General instruction manual: How the elevating gears are supposed to be used is very important to know to prevent accidents and misinterpretation. In the manual there are directions about use concerning safety, installation, driving, maintenance and dismantlement. · EC-assurance for declaration of conformity of machines: When all parts of the CEmarking were approved the CE-marking was finished by signing a document assuring the results. · Sign for CE-marked elevating gear: To prove the CE-marking a sign with destined, specific information is created to be put on each elevating gear. After these steps a guide on how to CE-mark efficiently and clearly for all to understand was created. This guide is left for the next person to continue CE-marking at the company. Hopefully the guide enables organized structure in their work and makes it easier to record for future use. As a result of this CE-marking there is a safer and healthier working environment which indirectly leads to a better world to live in regarding safety, health and environmental impacts. But the CE-mark is not intended to be a quality mark.
|
4 |
Testning av kryptomodulerLarsson, Daniel January 2009 (has links)
Testning är en viktig process vid tillverkning av alla typer av system. Traditionellt har testning utförts föratt verifiera att ett system fungerar på ett korrekt sätt. Vid tillverkning och testning av kryptomodulerräcker det dock inte med att verifiera att systemet fungerar korrekt utan testerna måste även visa attsystemet är tillräckligt säkert d.v.s. att det uppfyller de säkerhetskrav som användare och utvecklare ställerpå systemet.I de flesta fall är det dock inte möjligt att bevisa att ett system är säkert och felfritt då det ofta finnsoändligt många attackmöjligheter och oändligt många insignalskombinationer (testfall). För att visa att ettsystem med så stor sannolikhet som möjligt är säkert och felfritt krävs att testaren kan välja lämpligatestingsmetoder och vettiga delmängder av testfall att utföra. Detta kan vara en mycket svår uppgift och ärofta särskilt besvärlig vid säkerhetstestning.Det finns ingen ultimat testningsmetod som alltid fungerar och det finns heller inget ultimattillvägagångssätt som fungerar bra på alla system. Ett alternativ är att låta en riskanalys ligga till grund förhur testningen ska utföras. En riskanalys kan visa vilka delar av systemet som är extra känsliga, vilkatestfall som bör ha högst prioritet m.m. Ett annat alternativ är att använda Federal Information ProcessingStandard 140-X (2) som är en amerikansk standard för kryptomoduler och beskriver vilka tester sommåste utföras för att uppfylla standarden.
|
5 |
Penetrationstester : Offensiv säkerhetstestningBostorp, Carl-Johan January 2006 (has links)
Penetrationstester är ett sätt att utifrån ett angreppsperspektiv testa datasäkerhet. Denna rapport tar upp ett antal vanliga sårbarhetstyper att leta efter, och föreslår metoder för att testa dem. Den är skapad för att vara ett stöd för organisationer som vill starta en egen penetrationstestverksamhet. I rapporten ingår därför förutom sårbarhetstyper att leta efter, även de viktigaste typer av verktyg och kompetenser som behövs. Även förslag på administrativa rutiner och en grov skiss på utförandet finns med. I sista kapitlet finns sedan en diskussion om hur rapporten kan ligga till underlag för fortsatt arbete och hur penetrationstester använder sig av/relaterar till ett par närliggande områden såsom kryptering och intrångsdetektering. Det hela avslutas med en liten analys på när penetrationstester är användbara, vilket är när de antingen är helautomatiserade och bara kontrollerar ett fåtal sårbarheter, eller när kostnaden för ett intrång skulle bli väldigt stor.
|
6 |
Riskbaserad säkerhetstestning : En fallstudie om riskbaserad säkerhetstestning i utvecklingsprojekt / Risk-based security testing: A case study on risk-based security testing in development projectsEngblom, Pontus January 2020 (has links)
A risk is something that can happen and a problem is something that we know will happen or that has already happened. Security testing is used to evaluate a programs security using various methods and risk-based security testing is used to analyze, calculate and correct potential defects or problems in a system.Testing can be very costly and it is the most primary way of removing software defects. Many people focus their testing looking for correct behavior and not deviant behaviors in software, therefore security testing has not been as relevant in traditional testing. It is usually not possible to perform exhaustive testing on a system, instead you must selectively choose tests to conduct. How should the selection of tests be conducted? The study therefore intends to investigate how one can start working with risk-based security testing in development projects in order to prioritize and choose test cases and test methods. The study also aims to answer whether you can get any financial or practical benefits from working with risk-based security testing. To conduct the study a case study was used and to collect data, a document study was used to provide the opportunity to answer the questions. In order to analyze the collected data, a qualitative data analysis method has been used to explain and describe the content with a descriptive research approach. The results of the study provided an example of risk management with different steps one can take to start working on risk-based security testing in existing or new development projects. The study’s conclusion also shows that if you work with risk-based security testing there are practical benefits. For instance, higher quality of the system and economic benefits by finding defects or implementing countermeasures for possible risks at an early stage during the systems development. / En risk är någonting som kan hända och ett problem är någonting som vi vet kommer hända eller som redan har hänt. Säkerhetstest används för att med olika metoder värdera ett programs säkerhet och riskbaserad säkerhetstestning används för att analysera, kalkylera och åtgärda potentiella defekter eller problem i ett system. Testning kan vara väldigt kostnadskrävande och det är det mest primära sättet som används för att ta bort defekter i mjukvaror. Många fokuserar sin testning på att leta efter ett korrekt beteende och inte avvikande beteenden i programvara, därför har säkerhetstestning inte varit så aktuellt i traditionell testning. Det är oftast inte möjligt att utföra uttömmande testning på ett system utan man måste selektivt välja tester, men hur ska selektionen gå till?Studien ämnar därför att undersöka hur man kan börja arbeta med riskbaserad säkerhetstestning i utvecklingsprojekt för att kunna prioritera och välja testfall och testmetoder. Studien ämnar också svara på om man kan få några ekonomiska eller praktiska fördelar av att arbeta med riskbaserad säkerhetstestning.För att genomföra studien gjordes en fallstudie och för att samla in data utfördes en dokumentstudie för att ge möjlighet att besvara frågeställningarna. För att analysera den insamlade data har en kvalitativ dataanalysmetod använts för att med en deskriptiv undersökningsansats kunna djupare förklara och beskriva innehållet. Resultaten från studien har medfört ett riskhanterings exempel med olika steg man kan ta för att börja arbeta med riskbaserad säkerhetstestning i befintliga eller nya utvecklingsprojekt. Studiens slutsats visar också att om man arbetar med riskbaserad säkerhetstestning så finns det praktiska fördelar. Exempelvis högre kvalitet på systemet och ekonomiska fördelar genom att man i ett tidigt skede under systemets utveckling hittar defekter eller implementerar motåtgärder för eventuella risker.
|
7 |
Context-aware security testing of Android applications : Detecting exploitable vulnerabilities through Android model-based security testing / Kontextmedveten säkerhetstestning av androidapplikationer : Upptäckande av utnyttjingsbara sårbarheter genom Android modellbaserad säkerhetstestningBaheux, Ivan January 2023 (has links)
This master’s thesis explores ways to uncover and exploit vulnerabilities in Android applications by introducing a novel approach to security testing. The research question focuses on discovering an effective method for detecting vulnerabilities related to the context of an application. The study begins by reviewing recent papers on Android security flaws affecting application in order to guide our tool creation. Thus, we are able to introduce three Domain Specific Languages (DSLs) for Model-Based Security Testing (MBST): Context Definition Language (CDL), Context-Driven Modelling Language (CDML), and Vulnerability Pattern (VPat). These languages provide a fresh perspective on evaluating the security of Android apps by accounting for the dynamic context that is present on smartphones and can greatly impact user security. The result of this work is the development of VPatChecker[1], a tool that detects vulnerabilities and creates abstract exploits by integrating an application model, a context model, and a set of vulnerability patterns. This set of vulnerability patterns can be defined to represent a wide array of vulnerabilities, allowing the tool to be indefinitely updated with each new CVE. The tool was evaluated on the GHERA benchmark, showing that at least 38% (out of a total of 60) of the vulnerabilities in the benchmark can be modelled and detected. The research underscores the importance of considering context in Android security testing and presents a viable and extendable solution for identifying vulnerabilities through MBST and DSLs. / Detta examensarbete utforskar vägar för att hitta och utnyttja sårbarheter i Android-appar genom att introducera ett nytt sätt att utföra säkerhetstestning. Forskningsfrågan fokuserar på att upptäcka en effektiv metod för att detektera sårbarheter som kan härledas till kontexten för en app. Arbetet inleds med en översikt av nyliga forskningspublikationer om säkerhetsbrister som påverkar Android-appar, vilka vägleder utvecklingen av ett verktyg. Vi introducerar tre domänspecifika språk (DSL) för modellbaserad testning (MBST): CDL, CDML och VPat. Dessa språk ger ett nytt perspektiv på säkerheten för Android-appar genom att ta hänsyn till den dynamiska kontext som finns på smarta mobiltelefoner och som kan starkt påverka användarsäkerheten. Resultatet av arbetet är utveckling av VPatChecker[1], ett verktyg som upptäcker sårbarheter och skapar abstrakta sätt att utnyttja dem i en programmodell, en kontextmodell, och en mängd av sårbarhetsmönster. Denna sårbarhetsmönstermängd kan defineras så att den representerar ett brett spektrum av sårbarheter, vilket möjliggör för verktyger att uppdateras med varje ny CVE.Verktyget utvärderades på datamängden GHERA, vilket visade att 38% (av totalt 60) av alla sårbarheter kunde modelleras och upptäckas. Arbetet understryker vikten av att ta hänsyn till kontext i säkerhetstestning av Android-appar och presenterar en praktisk och utdragbar lösning för att hitta sårbarheter genom MBST and DSLs. / Ce mémoire de maîtrise explore les moyens de découvrir et d’exploiter les vulnérabilités des applications Android en introduisant une nouvelle approche des tests de sécurité. La question de recherche se concentre sur la découverte d’une méthode efficace pour détecter les vulnérabilités liées au contexte d’une application. L’étude commence par l’examen de documents récents sur les failles de sécurité des applications Android afin de guider la création de notre outil. Nous sommes ainsi en mesure d’introduire trois Langages dédié (DSL) pour des Tests de Sécurité Basés sur les Modèles (MBST) : Langage de Définition de Contexte (CDL), Langage de Modélisation Déterminée par le Contexte (CDML) et Motif de Vulnérabilité (VPat). Ces langages offrent une nouvelle perspective sur l’évaluation de la sécurité des applications Android en tenant compte du contexte dynamique présent sur les smartphones et qui peut avoir un impact important sur la sécurité de l’utilisateur. Le résultat de ce travail est le développement de VPatChecker[1], un outil qui détecte les vulnérabilités et crée des exploits abstraits en intégrant un modèle d’application, un modèle de contexte et un ensemble de modèles de vulnérabilité. Cet ensemble de modèles de vulnérabilité peut être défini pour représenter un large éventail de vulnérabilités, ce qui permet à l’outil d’être indéfiniment mis à jour avec chaque nouveau CVE. L’outil a été testé sur le benchmark GHERA[2] et montre qu’un total d’au moins 38% (sur un total de 60) des vulnérabilités peut être modélisé et détecté. La recherche souligne l’importance de prendre en compte le contexte dans les tests de sécurité Android et présente une solution viable et extensible pour identifier les vulnérabilités par le biais de MBST et DSLs.
|
Page generated in 0.0945 seconds