WAS 2.0 (2011)

545 views
504 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
545
On SlideShare
0
From Embeds
0
Number of Embeds
34
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • WAS 2.0 (2011)

    1. 1. Web Application Scanning RAC QualysGuard InfoDay 20 11
    2. 2. <ul><li>Co to je webová aplikace </li></ul><ul><ul><li>Aplikace klient x server založená převážně na HTML protokolu </li></ul></ul><ul><ul><li>Logika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java) </li></ul></ul><ul><ul><li>Každá aplikace je jiná a jedinečná </li></ul></ul>Webová aplikace RAC QualysGuard InfoDay 2011
    3. 3. <ul><li>Které zranitelnosti najde QualysGuard VM </li></ul><ul><ul><li>Zranitelnosti hostitelského serveru (Windows server, Linux) </li></ul></ul><ul><ul><li>Zranitelnosti webového engine (Apache, IIS) </li></ul></ul><ul><ul><li>Zranitelnosti skriptovacích jazyků (PHP, ASP, Java) </li></ul></ul><ul><ul><li>Chyby v šifrování u SSL/HTTPS </li></ul></ul><ul><ul><li>Zranitelnosti známých webových aplikací (OpenSource, CMS) </li></ul></ul><ul><li>Které zranitelnosti nenajde QualysGuard VM </li></ul><ul><ul><li>Neprohledává strukturu webové aplikace do hloubky </li></ul></ul><ul><ul><li>Obsah stránek, chybové stránky uvnitř aplikace </li></ul></ul><ul><ul><li>Zranitelnosti nedostatečné validace vstupních parametrů (SQL Injection apod..) </li></ul></ul><ul><ul><li>Webové servery vyžadující autentizaci </li></ul></ul>Co testuje QualysGuard VM RAC QualysGuard InfoDay 201 1
    4. 4. <ul><li>Všeobecné informace </li></ul><ul><ul><li>Struktura webové aplikace </li></ul></ul><ul><ul><li>Odkazy na externí weby, vadné odkazy, seznam emailů </li></ul></ul><ul><ul><li>Vlastnosti Session, Cookies, formulářů </li></ul></ul><ul><li>SQL Injection </li></ul><ul><ul><li>Způsobeno nedostatečnou validací vstupů </li></ul></ul><ul><ul><li>Umožňuje získat data z databáze nebo obejít přístupová práva aplikace </li></ul></ul><ul><li>XSS Cross-site scripting </li></ul><ul><ul><li>Způsobeno nedostatečnou validací vstupů </li></ul></ul><ul><ul><li>Umožňují podvrhnout část obsahu webu </li></ul></ul><ul><li>Další zranitelnosti </li></ul><ul><ul><li>Stránky generující chybová hlášení </li></ul></ul><ul><ul><li>Soubory, adresáře, výpisy adresářů </li></ul></ul><ul><ul><li>Nálezy citlivých informací </li></ul></ul>Modul WAS - Co testuje ? RAC QualysGuard InfoDay 201 1
    5. 5. <ul><li>Nová verze WAS 2.0 </li></ul><ul><ul><li>Pravděpodobně v Q3 2011 </li></ul></ul><ul><ul><li>Zatím pouze beta verze pro vybrané zákazníky </li></ul></ul><ul><ul><li>Není dosud plná funkčnost aplikace </li></ul></ul><ul><li>Hlavní změny </li></ul><ul><ul><li>Zcela nové UI </li></ul></ul><ul><ul><li>Podpora testování webových aplikací s JavaScriptem a embeded Flash </li></ul></ul><ul><ul><li>Rozšířené reportovací možnosti </li></ul></ul><ul><ul><li>Tagy </li></ul></ul>WAS 2.0 RAC QualysGuard InfoDay 201 1
    6. 6. Nové interaktivní UI RAC QualysGuard InfoDay 201 1
    7. 7. <ul><li>Možnost využití </li></ul><ul><ul><li>Využití výsledků mapování </li></ul></ul><ul><ul><li>Vytváření katalogu všech web aplikací (http, https) </li></ul></ul>Funkce pro katalogizaci web aplikací RAC QualysGuard InfoDay 201 1
    8. 8. Průvodce pro konfiguraci RAC QualysGuard InfoDay 201 1
    9. 9. Průvodce pro autentizaci RAC QualysGuard InfoDay 201 1
    10. 10. <ul><li>Formulářové přihlašování </li></ul><ul><ul><li>Používá většina webů </li></ul></ul><ul><ul><li>Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různé </li></ul></ul><ul><ul><li>Při přihlašování použity často další skryté parametry, např. cookies </li></ul></ul>Formulářové přihlašování - popis RAC QualysGuard InfoDay 201 1
    11. 11. <ul><li>Nutno zadat přihlašovací informace </li></ul><ul><ul><li>Není úplně triviální, nutno ve spolupráci s vývojářem nebo použít pomocné nástroje </li></ul></ul><ul><ul><li>Vhodné použít např. pluginy do Mozilly Firefox: LiveHTTPHeaders , Tamper Data </li></ul></ul><ul><ul><li>Umožňují zobrazit textová html data mezi serverem a klientem </li></ul></ul><ul><li>Příklad dat: </li></ul><ul><li>loggedURL=http%3A%2F%2Femail.seznam.cz%2Fticket&serviceId=email&forceSSL=0&username=novak&domain=seznam.cz&password=aaaa&js=1 </li></ul>Získání údajů pro formulářové přihlášení RAC QualysGuard InfoDay 201 1
    12. 12. Přehledy výsledků RAC QualysGuard InfoDay 201 1
    13. 13. Interaktivní reporty RAC QualysGuard InfoDay 201 1
    14. 14. Reporty RAC QualysGuard InfoDay 201 1
    15. 15. Reporty RAC QualysGuard InfoDay 201 1
    16. 16. Stav testování dle OWASP Top 10 RAC QualysGuard InfoDay 201 1 <ul><li>Open Web Application Security Project </li></ul><ul><ul><li>Nejdůležitější metodologie pro testování webových aplikací </li></ul></ul>Typ stav A1 - Injection Komplexně A2 - Cross Site Scripting (XSS) Komplexně A3 – Broken Authentication and Session Management Částečně A3 - Malicious File Execution Částečně A4 - Insecure Direct Object Reference Částečně A5 - Cross Site Request Forgery Částečně A6 – Information Leakage and Bad Error Handling Komplexně A7 – Insecure Cryptographic Storage Nelze A8 - Failure to Restrict URL Access Q4 2011 A9 – Insecure Transport Layer Protection Částečně A10 – Unvalidated Redirects and Forwards Q2 2011
    17. 17. <ul><li>WAS poskytuje následující výhody </li></ul><ul><ul><li>Automatické testování webové aplikace, možnost sledování změn v čase, audit přístupových práv uživatelů </li></ul></ul><ul><ul><li>Prohledání celé struktury aplikace včetně autentizace </li></ul></ul><ul><ul><li>Metodologie testování vychází z Web Application Security Project (OWASP) </li></ul></ul><ul><li>Odlišnosti od klasického penetračního testování </li></ul><ul><ul><li>Nutnost větší spolupráce s vývojáři, nálezy jsou obtížněji interpretovatelné </li></ul></ul><ul><ul><li>Nenajde zranitelnosti související např. se špatnou logikou přístupových práv aplikace, session stealing </li></ul></ul><ul><ul><li>Ruční testování specialistou na bezpečnost webové aplikace je nutné pro komplexní kontrolu bezpečnosti </li></ul></ul>Shrnutí WAS RAC QualysGuard InfoDay 201 1

    ×