Drop Down MenusCSS Drop Down MenuPure CSS Dropdown Menu

公開日 : 2018-01-31

認証系のセキュリティテストで致命的欠陥を見つけられなかった原因

このエントリーをはてなブックマークに追加
セキュリティ系の品質保証方法で、致命的な欠陥を見つけられなかったので反省。忘備録として書いておく。




問題点


・不正な値を入れた時に、認証トークンが発行されてしまう

簡単にいうとパスワードに適当な値を入れても、認証トークンが発行されてしまった。

なぜ見つけられなかったか


・その項目がテストに含まれていなかったから

← 探索的テストからの観点を広げきれず、優先順位がつけられなかったから

工程があまりよくなかったと反省。探索的テストで、いろいろな観点を広げて、後々ディジションテーブルか何かで広げてからテストすればよかったものの、探索的テストで観点をあまり広げられていないまま、テストに入ってしまった。

無意識のうちに飛ばしていたのかもしれないが、それは心理的に「これ以上テスト項目を増やしたらテストできない」と感じたのもあるかもしれない。そこが一番まずかった。本来であれば、観点を広げられるだけ広げ、後で優先順位を付ければ良い話で、探索的テストの段階でそれは考えるべき観点ではなかった

次への行動


・探索的テストで、ユーザー想定をもっとしながら、他の観点を広げられるだけ広げる
・既存のチケットから、過去のテスト方法を参考に観点を加える
・既存のリグレッションテストから、正常値を抽出し、観点を増やす
・重点的にテストする場合は、広げた上で優先順位をつけてからやる。最初から狭めないこと

スポンサーリンク