Säkerhetstest

Testa så att inte felmeddelanden avslöjar viktig information om tjänsten som kan användas i en attack. Gör ”förbjudna” anrop för att locka fram felmeddelanden.
•    Ska endast godkända system få använda tjänsten – testa att ingen annan kommer åt den.
•    Se till att data valideras så att endast den nödvändiga datan som ska matas in i tjänsten behandlas. Ska man mata in ett telefonnummer finns ingen anledning att godkänna andra tecken än siffror (förutom kanske ett + tecken).
•    Kontrollera att all data som kan matas in i tjänsten verifieras så att inga icke godkända tecken kan matas in. Följ det som dokumnetnerats I säkerhetspolicyn
o    Hindra t.ex. tecken som  %, &, ”, \, , {,}, [, ], =.
o    Det kan också finnas skäl att hindra SQL liknande kommandon, t.ex. where, update, insert.
o    På samma sätt kan det finnas tex operativsystems liknande kommandon som behöver filtreras bort.
•    Testa så att det finns en begränsning för hur stora mängder data som kan matas in. T.ex. kan en kontroll göras för samtliga parametrar så att det inte går att mata in fler än 250 tecken.
•    Be någon säkerhetsexpert göra en översyn för att säkra upp att inga onödiga portar är öppnade, att senaste säkerhetspatchar är installerade mm