SlideShare a Scribd company logo

Сканирование WEB-приложений с аутентификацией

Download as PPTX, PDF
Betta Security
Betta Security

Использование Selenium script для аутентификации в WEB приложениях.

Internet
1 of 19
We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. Сканирование WEB–приложений с аутентификацией Александр Ветров Инженер информационной безопасности
В данной статье я расскажу об использовании Selenium script для аутентификации в WEB приложении. Очень часто WEB приложения имеют нестандартную форму ввода логина и пароля. Будь то всплывающее меню и им подобные. И вот именно здесь на помощь нам приходит функционал Selenium script (http://www.seleniumhq.org/) для успешной аутентификации в рамках сканирования приложения. Приложение Selenium script выступает в роли расширения для браузера. Запускаем браузер, открываем Selenium script. В поле Base URL вводим адрес страницы с авторизацией.
Далее активируем кнопку записи действий
Переходим в браузер и выполняем авторизацию После того, как мы ввели учётные данные в нужные поля, нажимаем кнопку входа
В результате наших действий, в окне Selenium script должны появиться поля с ID и значениями
Далее останавливаем запись скрипта и сохраняем его. В результате должен быть файл HTML
Далее переходим в консоль Qualys Guard
Выбираем нужное приложение и редактируем его
Переходим на вкладку Authentication и создаем новый тип аутентификации
В появившемся окне задаем имя
На вкладке Server Records выбираем тип Selenium script
Далее нам предлагают выбрать скрипт
Выбираем сохраненный скрипт
В поле Validation Regular Expression нужно вставить значение, которой будет доступно на странице после успешной аутентификации. В нашем случае это может быть слово Portal.
Сохраняем запись аутентификации и завершаем редактирование Web приложения. Для того, что бы быстро проверить успешность данного скрипта, можно выполнить Discovery scan
Выбираем ранее созданную запись аутентификации И запускаем сканирование.
В результате, при успешной аутентификации, мы увидим Authentication Status: Successful После этого можно смело проводить Vulnerability Scan данного приложения и не переживать о том, что аутентификация не пройдет. Продолжение следует…

Recommended

Web app first scan
Web app first scanWeb app first scan
Web app first scanAlex Vetrov
 
Selenium
SeleniumSelenium
SeleniumРаиль Нуруллаев
 
чек лист абс
чек лист абсчек лист абс
чек лист абсРуслан Давудов
 
Adhands For Web
Adhands For WebAdhands For Web
Adhands For WebOlga
 
Мобильное приложение для бизнеса: взгляд со стороны разработчика
Мобильное приложение для бизнеса: взгляд со стороны разработчикаМобильное приложение для бизнеса: взгляд со стороны разработчика
Мобильное приложение для бизнеса: взгляд со стороны разработчикаJetStyle
 
Web app first scan
Web app first scanWeb app first scan
Web app first scanAlex Vetrov
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity ProviderMikhail Vanin
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 

Recommended

Web app first scan
Web app first scanWeb app first scan
Web app first scanAlex Vetrov
 
Selenium
SeleniumSelenium
SeleniumРаиль Нуруллаев
 
чек лист абс
чек лист абсчек лист абс
чек лист абсРуслан Давудов
 
Adhands For Web
Adhands For WebAdhands For Web
Adhands For WebOlga
 
Мобильное приложение для бизнеса: взгляд со стороны разработчика
Мобильное приложение для бизнеса: взгляд со стороны разработчикаМобильное приложение для бизнеса: взгляд со стороны разработчика
Мобильное приложение для бизнеса: взгляд со стороны разработчикаJetStyle
 
Web app first scan
Web app first scanWeb app first scan
Web app first scanAlex Vetrov
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity ProviderMikhail Vanin
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
Web pay development guide
Web pay development guideWeb pay development guide
Web pay development guideLonela
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоMail.ru Group
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Kirill Rubinshteyn
 
“Можно ли перевернуть пирамиду?” – автоматизируем тестирование с меньшим числ...
“Можно ли перевернуть пирамиду?” – автоматизируем тестирование с меньшим числ...“Можно ли перевернуть пирамиду?” – автоматизируем тестирование с меньшим числ...
“Можно ли перевернуть пирамиду?” – автоматизируем тестирование с меньшим числ...Igor Khrol
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS1С-Битрикс
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
 
Руководство по приготовлению бутербродов из Selenium
Руководство по приготовлению бутербродов из SeleniumРуководство по приготовлению бутербродов из Selenium
Руководство по приготовлению бутербродов из SeleniumUladzimir Kryvenka
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковMedia Gorod
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
 
Плюсы и минусы автоматизации, пример из жизни
Плюсы и минусы автоматизации, пример из жизниПлюсы и минусы автоматизации, пример из жизни
Плюсы и минусы автоматизации, пример из жизниz-tech
 
автоматизация тестирования с помощью Selenium
автоматизация тестирования с помощью Seleniumавтоматизация тестирования с помощью Selenium
автоматизация тестирования с помощью Seleniumvyacheslavmaslov
 
Мотивация 2.0. Лайки, Бейджи и другие игровые механики на службе бизнеса #clo...
Мотивация 2.0. Лайки, Бейджи и другие игровые механики на службе бизнеса #clo...Мотивация 2.0. Лайки, Бейджи и другие игровые механики на службе бизнеса #clo...
Мотивация 2.0. Лайки, Бейджи и другие игровые механики на службе бизнеса #clo...Pryaniky.com
 
Безопасность
БезопасностьБезопасность
Безопасность1С-Битрикс
 
автоматизация тестирования с помощью Selenium
автоматизация тестирования с помощью Seleniumавтоматизация тестирования с помощью Selenium
автоматизация тестирования с помощью Seleniumvyacheslavmaslov
 
Эд Изотов: "In God we trust the REST we test".
Эд Изотов: "In God we trust the REST we test".Эд Изотов: "In God we trust the REST we test".
Эд Изотов: "In God we trust the REST we test".Hub-IT-School
 
Behavior Driven Development
Behavior Driven DevelopmentBehavior Driven Development
Behavior Driven DevelopmentReturn on Intelligence
 
Александр Кузьмин: «Веб-аналитика для b2b»
Александр Кузьмин: «Веб-аналитика для b2b»Александр Кузьмин: «Веб-аналитика для b2b»
Александр Кузьмин: «Веб-аналитика для b2b»Комплето
 
Современные технологии сайтостроения для решения бизнес задач
Современные технологии сайтостроения для решения бизнес задачСовременные технологии сайтостроения для решения бизнес задач
Современные технологии сайтостроения для решения бизнес задачUltraUnion
 
Доклад Д.Суслова (1С-Битрикс) - 22.03.2012
Доклад Д.Суслова (1С-Битрикс) - 22.03.2012Доклад Д.Суслова (1С-Битрикс) - 22.03.2012
Доклад Д.Суслова (1С-Битрикс) - 22.03.2012web_kport
 

More Related Content

Similar to Сканирование WEB-приложений с аутентификацией

Web pay development guide
Web pay development guideWeb pay development guide
Web pay development guideLonela
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоMail.ru Group
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Kirill Rubinshteyn
 
“Можно ли перевернуть пирамиду?” – автоматизируем тестирование с меньшим числ...
“Можно ли перевернуть пирамиду?” – автоматизируем тестирование с меньшим числ...“Можно ли перевернуть пирамиду?” – автоматизируем тестирование с меньшим числ...
“Можно ли перевернуть пирамиду?” – автоматизируем тестирование с меньшим числ...Igor Khrol
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
 
Руководство по приготовлению бутербродов из Selenium
Руководство по приготовлению бутербродов из SeleniumРуководство по приготовлению бутербродов из Selenium
Руководство по приготовлению бутербродов из SeleniumUladzimir Kryvenka
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковMedia Gorod
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
 
Плюсы и минусы автоматизации, пример из жизни
Плюсы и минусы автоматизации, пример из жизниПлюсы и минусы автоматизации, пример из жизни
Плюсы и минусы автоматизации, пример из жизниz-tech
 
автоматизация тестирования с помощью Selenium
автоматизация тестирования с помощью Seleniumавтоматизация тестирования с помощью Selenium
автоматизация тестирования с помощью Seleniumvyacheslavmaslov
 
Мотивация 2.0. Лайки, Бейджи и другие игровые механики на службе бизнеса #clo...
Мотивация 2.0. Лайки, Бейджи и другие игровые механики на службе бизнеса #clo...Мотивация 2.0. Лайки, Бейджи и другие игровые механики на службе бизнеса #clo...
Мотивация 2.0. Лайки, Бейджи и другие игровые механики на службе бизнеса #clo...Pryaniky.com
 
автоматизация тестирования с помощью Selenium
автоматизация тестирования с помощью Seleniumавтоматизация тестирования с помощью Selenium
автоматизация тестирования с помощью Seleniumvyacheslavmaslov
 
Эд Изотов: "In God we trust the REST we test".
Эд Изотов: "In God we trust the REST we test".Эд Изотов: "In God we trust the REST we test".
Эд Изотов: "In God we trust the REST we test".Hub-IT-School
 
Александр Кузьмин: «Веб-аналитика для b2b»
Александр Кузьмин: «Веб-аналитика для b2b»Александр Кузьмин: «Веб-аналитика для b2b»
Александр Кузьмин: «Веб-аналитика для b2b»Комплето
 
Современные технологии сайтостроения для решения бизнес задач
Современные технологии сайтостроения для решения бизнес задачСовременные технологии сайтостроения для решения бизнес задач
Современные технологии сайтостроения для решения бизнес задачUltraUnion
 
Доклад Д.Суслова (1С-Битрикс) - 22.03.2012
Доклад Д.Суслова (1С-Битрикс) - 22.03.2012Доклад Д.Суслова (1С-Битрикс) - 22.03.2012
Доклад Д.Суслова (1С-Битрикс) - 22.03.2012web_kport
 

Similar to Сканирование WEB-приложений с аутентификацией (20)

Web pay development guide
Web pay development guideWeb pay development guide
Web pay development guide
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий Остапенко
 
безопасность
безопасностьбезопасность
безопасность
 
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
 
“Можно ли перевернуть пирамиду?” – автоматизируем тестирование с меньшим числ...
“Можно ли перевернуть пирамиду?” – автоматизируем тестирование с меньшим числ...“Можно ли перевернуть пирамиду?” – автоматизируем тестирование с меньшим числ...
“Можно ли перевернуть пирамиду?” – автоматизируем тестирование с меньшим числ...
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Руководство по приготовлению бутербродов из Selenium
Руководство по приготовлению бутербродов из SeleniumРуководство по приготовлению бутербродов из Selenium
Руководство по приготовлению бутербродов из Selenium
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
 
Плюсы и минусы автоматизации, пример из жизни
Плюсы и минусы автоматизации, пример из жизниПлюсы и минусы автоматизации, пример из жизни
Плюсы и минусы автоматизации, пример из жизни
 
автоматизация тестирования с помощью Selenium
автоматизация тестирования с помощью Seleniumавтоматизация тестирования с помощью Selenium
автоматизация тестирования с помощью Selenium
 
Мотивация 2.0. Лайки, Бейджи и другие игровые механики на службе бизнеса #clo...
Мотивация 2.0. Лайки, Бейджи и другие игровые механики на службе бизнеса #clo...Мотивация 2.0. Лайки, Бейджи и другие игровые механики на службе бизнеса #clo...
Мотивация 2.0. Лайки, Бейджи и другие игровые механики на службе бизнеса #clo...
 
Безопасность
БезопасностьБезопасность
Безопасность
 
автоматизация тестирования с помощью Selenium
автоматизация тестирования с помощью Seleniumавтоматизация тестирования с помощью Selenium
автоматизация тестирования с помощью Selenium
 
Эд Изотов: "In God we trust the REST we test".
Эд Изотов: "In God we trust the REST we test".Эд Изотов: "In God we trust the REST we test".
Эд Изотов: "In God we trust the REST we test".
 
Behavior Driven Development
Behavior Driven DevelopmentBehavior Driven Development
Behavior Driven Development
 
Александр Кузьмин: «Веб-аналитика для b2b»
Александр Кузьмин: «Веб-аналитика для b2b»Александр Кузьмин: «Веб-аналитика для b2b»
Александр Кузьмин: «Веб-аналитика для b2b»
 
Современные технологии сайтостроения для решения бизнес задач
Современные технологии сайтостроения для решения бизнес задачСовременные технологии сайтостроения для решения бизнес задач
Современные технологии сайтостроения для решения бизнес задач
 
Доклад Д.Суслова (1С-Битрикс) - 22.03.2012
Доклад Д.Суслова (1С-Битрикс) - 22.03.2012Доклад Д.Суслова (1С-Битрикс) - 22.03.2012
Доклад Д.Суслова (1С-Битрикс) - 22.03.2012
 

Сканирование WEB-приложений с аутентификацией

  • 1. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. Сканирование WEB–приложений с аутентификацией Александр Ветров Инженер информационной безопасности
  • 2. В данной статье я расскажу об использовании Selenium script для аутентификации в WEB приложении. Очень часто WEB приложения имеют нестандартную форму ввода логина и пароля. Будь то всплывающее меню и им подобные. И вот именно здесь на помощь нам приходит функционал Selenium script (http://www.seleniumhq.org/) для успешной аутентификации в рамках сканирования приложения. Приложение Selenium script выступает в роли расширения для браузера. Запускаем браузер, открываем Selenium script. В поле Base URL вводим адрес страницы с авторизацией.
  • 3. Далее активируем кнопку записи действий
  • 4. Переходим в браузер и выполняем авторизацию После того, как мы ввели учётные данные в нужные поля, нажимаем кнопку входа
  • 5. В результате наших действий, в окне Selenium script должны появиться поля с ID и значениями
  • 6. Далее останавливаем запись скрипта и сохраняем его. В результате должен быть файл HTML
  • 7. Далее переходим в консоль Qualys Guard
  • 8. Выбираем нужное приложение и редактируем его
  • 9. Переходим на вкладку Authentication и создаем новый тип аутентификации
  • 10. В появившемся окне задаем имя
  • 11. На вкладке Server Records выбираем тип Selenium script
  • 12. Далее нам предлагают выбрать скрипт
  • 14.
  • 15. В поле Validation Regular Expression нужно вставить значение, которой будет доступно на странице после успешной аутентификации. В нашем случае это может быть слово Portal.
  • 16. Сохраняем запись аутентификации и завершаем редактирование Web приложения. Для того, что бы быстро проверить успешность данного скрипта, можно выполнить Discovery scan
  • 17.
  • 18. Выбираем ранее созданную запись аутентификации И запускаем сканирование.
  • 19. В результате, при успешной аутентификации, мы увидим Authentication Status: Successful После этого можно смело проводить Vulnerability Scan данного приложения и не переживать о том, что аутентификация не пройдет. Продолжение следует…