Your SlideShare is downloading. ×
0
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
WAS 2.0 (2011)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

WAS 2.0 (2011)

460

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
460
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • Transcript

    • 1. Web Application Scanning RAC QualysGuard InfoDay 20 11
    • 2. <ul><li>Co to je webová aplikace </li></ul><ul><ul><li>Aplikace klient x server založená převážně na HTML protokolu </li></ul></ul><ul><ul><li>Logika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java) </li></ul></ul><ul><ul><li>Každá aplikace je jiná a jedinečná </li></ul></ul>Webová aplikace RAC QualysGuard InfoDay 2011
    • 3. <ul><li>Které zranitelnosti najde QualysGuard VM </li></ul><ul><ul><li>Zranitelnosti hostitelského serveru (Windows server, Linux) </li></ul></ul><ul><ul><li>Zranitelnosti webového engine (Apache, IIS) </li></ul></ul><ul><ul><li>Zranitelnosti skriptovacích jazyků (PHP, ASP, Java) </li></ul></ul><ul><ul><li>Chyby v šifrování u SSL/HTTPS </li></ul></ul><ul><ul><li>Zranitelnosti známých webových aplikací (OpenSource, CMS) </li></ul></ul><ul><li>Které zranitelnosti nenajde QualysGuard VM </li></ul><ul><ul><li>Neprohledává strukturu webové aplikace do hloubky </li></ul></ul><ul><ul><li>Obsah stránek, chybové stránky uvnitř aplikace </li></ul></ul><ul><ul><li>Zranitelnosti nedostatečné validace vstupních parametrů (SQL Injection apod..) </li></ul></ul><ul><ul><li>Webové servery vyžadující autentizaci </li></ul></ul>Co testuje QualysGuard VM RAC QualysGuard InfoDay 201 1
    • 4. <ul><li>Všeobecné informace </li></ul><ul><ul><li>Struktura webové aplikace </li></ul></ul><ul><ul><li>Odkazy na externí weby, vadné odkazy, seznam emailů </li></ul></ul><ul><ul><li>Vlastnosti Session, Cookies, formulářů </li></ul></ul><ul><li>SQL Injection </li></ul><ul><ul><li>Způsobeno nedostatečnou validací vstupů </li></ul></ul><ul><ul><li>Umožňuje získat data z databáze nebo obejít přístupová práva aplikace </li></ul></ul><ul><li>XSS Cross-site scripting </li></ul><ul><ul><li>Způsobeno nedostatečnou validací vstupů </li></ul></ul><ul><ul><li>Umožňují podvrhnout část obsahu webu </li></ul></ul><ul><li>Další zranitelnosti </li></ul><ul><ul><li>Stránky generující chybová hlášení </li></ul></ul><ul><ul><li>Soubory, adresáře, výpisy adresářů </li></ul></ul><ul><ul><li>Nálezy citlivých informací </li></ul></ul>Modul WAS - Co testuje ? RAC QualysGuard InfoDay 201 1
    • 5. <ul><li>Nová verze WAS 2.0 </li></ul><ul><ul><li>Pravděpodobně v Q3 2011 </li></ul></ul><ul><ul><li>Zatím pouze beta verze pro vybrané zákazníky </li></ul></ul><ul><ul><li>Není dosud plná funkčnost aplikace </li></ul></ul><ul><li>Hlavní změny </li></ul><ul><ul><li>Zcela nové UI </li></ul></ul><ul><ul><li>Podpora testování webových aplikací s JavaScriptem a embeded Flash </li></ul></ul><ul><ul><li>Rozšířené reportovací možnosti </li></ul></ul><ul><ul><li>Tagy </li></ul></ul>WAS 2.0 RAC QualysGuard InfoDay 201 1
    • 6. Nové interaktivní UI RAC QualysGuard InfoDay 201 1
    • 7. <ul><li>Možnost využití </li></ul><ul><ul><li>Využití výsledků mapování </li></ul></ul><ul><ul><li>Vytváření katalogu všech web aplikací (http, https) </li></ul></ul>Funkce pro katalogizaci web aplikací RAC QualysGuard InfoDay 201 1
    • 8. Průvodce pro konfiguraci RAC QualysGuard InfoDay 201 1
    • 9. Průvodce pro autentizaci RAC QualysGuard InfoDay 201 1
    • 10. <ul><li>Formulářové přihlašování </li></ul><ul><ul><li>Používá většina webů </li></ul></ul><ul><ul><li>Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různé </li></ul></ul><ul><ul><li>Při přihlašování použity často další skryté parametry, např. cookies </li></ul></ul>Formulářové přihlašování - popis RAC QualysGuard InfoDay 201 1
    • 11. <ul><li>Nutno zadat přihlašovací informace </li></ul><ul><ul><li>Není úplně triviální, nutno ve spolupráci s vývojářem nebo použít pomocné nástroje </li></ul></ul><ul><ul><li>Vhodné použít např. pluginy do Mozilly Firefox: LiveHTTPHeaders , Tamper Data </li></ul></ul><ul><ul><li>Umožňují zobrazit textová html data mezi serverem a klientem </li></ul></ul><ul><li>Příklad dat: </li></ul><ul><li>loggedURL=http%3A%2F%2Femail.seznam.cz%2Fticket&serviceId=email&forceSSL=0&username=novak&domain=seznam.cz&password=aaaa&js=1 </li></ul>Získání údajů pro formulářové přihlášení RAC QualysGuard InfoDay 201 1
    • 12. Přehledy výsledků RAC QualysGuard InfoDay 201 1
    • 13. Interaktivní reporty RAC QualysGuard InfoDay 201 1
    • 14. Reporty RAC QualysGuard InfoDay 201 1
    • 15. Reporty RAC QualysGuard InfoDay 201 1
    • 16. Stav testování dle OWASP Top 10 RAC QualysGuard InfoDay 201 1 <ul><li>Open Web Application Security Project </li></ul><ul><ul><li>Nejdůležitější metodologie pro testování webových aplikací </li></ul></ul>Typ stav A1 - Injection Komplexně A2 - Cross Site Scripting (XSS) Komplexně A3 – Broken Authentication and Session Management Částečně A3 - Malicious File Execution Částečně A4 - Insecure Direct Object Reference Částečně A5 - Cross Site Request Forgery Částečně A6 – Information Leakage and Bad Error Handling Komplexně A7 – Insecure Cryptographic Storage Nelze A8 - Failure to Restrict URL Access Q4 2011 A9 – Insecure Transport Layer Protection Částečně A10 – Unvalidated Redirects and Forwards Q2 2011
    • 17. <ul><li>WAS poskytuje následující výhody </li></ul><ul><ul><li>Automatické testování webové aplikace, možnost sledování změn v čase, audit přístupových práv uživatelů </li></ul></ul><ul><ul><li>Prohledání celé struktury aplikace včetně autentizace </li></ul></ul><ul><ul><li>Metodologie testování vychází z Web Application Security Project (OWASP) </li></ul></ul><ul><li>Odlišnosti od klasického penetračního testování </li></ul><ul><ul><li>Nutnost větší spolupráce s vývojáři, nálezy jsou obtížněji interpretovatelné </li></ul></ul><ul><ul><li>Nenajde zranitelnosti související např. se špatnou logikou přístupových práv aplikace, session stealing </li></ul></ul><ul><ul><li>Ruční testování specialistou na bezpečnost webové aplikace je nutné pro komplexní kontrolu bezpečnosti </li></ul></ul>Shrnutí WAS RAC QualysGuard InfoDay 201 1

    ×