Результаты тестирования с помощью owasp zap
На основании результатов автоматизированного тестирования безопасности, полученных с помощью OWASP ZAP (Рисунок 5), было построено распределение обнаруженных уязвимостей по уровням риска. Диаграмма (Рисунок 6) отражает количественное соотношение уязвимостей категорий High, Medium, Low и Informational.
Рисунок 5 –Таблица распределения уязвимостей по уровням риска по результатам OWASP ZAP
Рисунок 6 – Диаграмма уязвимостей
Заключение
В ходе выполнения практической работы №9 было проведено комплексное тестирование разработанной информационной системы, включающее ручное тестирование, автоматизированное интеграционное тестирование, а также тестирование безопасности с использованием методологии OWASP. Применение нескольких подходов позволило всесторонне оценить корректность работы функциональных модулей, устойчивость системы к ошибкам и базовый уровень защищённости веб-приложения.
В рамках ручного тестирования была выполнена проверка основных пользовательских сценариев работы системы: регистрация и авторизация пользователей, работа с каталогом курсов, добавление товаров в корзину, оформление заказа, а также доступ к административным панелям в зависимости от роли пользователя. Ручное тестирование позволило выявить и устранить возможные логические ошибки в пользовательских сценариях и подтвердить корректность взаимодействия интерфейса с серверной частью. Существенных функциональных ошибок в процессе тестирования выявлено не было. Основным преимуществом ручного тестирования является возможность оценки пользовательского опыта и визуальной корректности интерфейса, однако данный метод требует значительных временных затрат и не подходит для регулярной повторяемой проверки системы.
Автоматизированное тестирование было реализовано в виде интеграционных автотестов, направленных на проверку взаимодействия нескольких модулей системы. Были разработаны тесты, проверяющие корректность формирования заказа на основе данных корзины, расчёт итоговой суммы и генерацию контрольной суммы, механизм контроля целостности данных заказа при изменении параметров, а также корректность ролевого разграничения доступа пользователей. Все автотесты завершились успешно, что подтверждает корректную работу бизнес-логики системы. Преимуществом автоматизированного тестирования является возможность быстрого повторного запуска тестов и высокая точность проверки логики работы системы. В то же время автотесты не позволяют оценить визуальную часть интерфейса и пользовательское восприятие приложения
В рамках тестирования безопасности было выполнено автоматизированное сканирование веб-приложения с использованием инструмента OWASP ZAP. В ходе анализа были выявлены уязвимости информационного и низкого уровня риска, связанные преимущественно с отсутствием защитных HTTP-заголовков, настройками cookie и отсутствием CSRF-токенов. Критические уязвимости уровня High обнаружены не были. Полученные результаты свидетельствуют о корректной реализации основной логики приложения и достаточном уровне защищённости для учебного проекта. Тестирование по методологии OWASP позволяет выявлять потенциальные угрозы безопасности на ранних этапах разработки, однако не заменяет полноценный аудит и требует дополнительной настройки и интерпретации результатов.
Таким образом, проведённое тестирование подтвердило корректность функционирования информационной системы, устойчивость её основных модулей и отсутствие критических ошибок безопасности. Использование нескольких видов тестирования позволило компенсировать недостатки каждого отдельного метода и получить целостное представление о качестве разработанного программного продукта.
Санкт-Петербург
2025