Конфиденциальность. Сокрытие определенных ресурсов или информации. Под конфиденциальностью можно понимать ограничение доступа к ресурсу некоторой категории пользователей, или другими словами, при каких условиях пользователь авторизован получить доступ к данному ресурсу.

В ходе тестирования, чаще всего тестировщик играет роль взломщика, и начинает манипулировать разным образом приложением:

• Попытки узнать пароль с помощью внешних средств.

• Атака системы с помощью специальных утилит, анализирующих защиты.

• Подавление, ошеломление системы (в надежде, что она откажется обслуживать других клиентов).

• Целенаправленное введение ошибок в надежде проникнуть в систему в ходе восстановления.

• Просмотр несекретных данных в надежде найти ключ для входа в систему.

Продолжая тему, можно выделить несколько основных видов уязвимости:

XSS (Cross-SiteScripting) — это вид уязвимости программного обеспечения (Web приложений), при которой, на генерированной сервером странице, выполняются вредоносные скрипты, с целью атаки клиента.

XSRF / CSRF (RequestForgery) — это вид уязвимости, позволяющий использовать недостатки HTTP протокола. Злоумышленники работают по следующей схеме: ссылка на вредоносный сайт устанавливается на странице, пользующейся доверием у пользователя, при переходе по вредоносной ссылке выполняется скрипт, сохраняющий личные данные пользователя (пароли, платежные данные и т.д.), либо отправляющий СПАМ сообщения от лица пользователя, либо изменяет доступ к учетной записи пользователя, для получения полного контроля над ней.

Codeinjections (SQL, PHP, ASP и т.д.) — это вид уязвимости, при котором становится возможно осуществить запуск исполняемого кода с целью получения доступа к системным ресурсам, несанкционированного доступа к данным либо выведения системы из строя.

Server-SideIncludes (SSI) Injection — это вид уязвимости, использующий вставку серверных команд в HTML код или запуск их напрямую с сервера.

AuthorizationBypass — это вид уязвимости, при котором возможно получить несанкционированный доступ к учетной записи или документам другого пользователя

Табы