Your SlideShare is downloading. ×
QualysGuard InfoDay 2012 - Web Application Scanning
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

QualysGuard InfoDay 2012 - Web Application Scanning

361
views

Published on

Web Application Scanning, WAS,

Web Application Scanning, WAS,

Published in: Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
361
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • Transcript

    • 1. Risk Analysis Consultants www.rac.cz V060420 Web Application Scanning RAC QualysGuard InfoDay 2012 1
    • 2. Webová aplikace Co to je webová aplikace Aplikace klient x server založená převážně na HTML protokolu www.rac.cz Logika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java)Risk Analysis Consultants Každá aplikace je jiná a jedinečná V060420 RAC QualysGuard InfoDay 2012 2
    • 3. QG WAS 2.X Nová verze WAS 2.0 Od Q4 2011 www.rac.cz Současná verze 2.3, postupná drobná vylepšení Základní vlastnostiRisk Analysis Consultants SaaS based delivery to get up and running quickly and efficiently Scanning that is scalable to thousands of applications Highly automated to reduce resource requirements Automated dynamic application scanning Authenticated and non-authenticated scanning Intelligent web app crawler and scanner V060420 Updated constantly (11 Engine releases since 2010) Deployed in minutes using external and internal scanners Scanner training or expertise not needed Reports available upon scan completion RAC QualysGuard InfoDay 2012
    • 4. QG WAS – co testuje ? Všeobecné informace o webové aplikaci Struktura webové aplikace www.rac.cz Odkazy na externí weby, vadné odkazy, seznam emailů Vlastnosti Session, Cookies, formulářůRisk Analysis Consultants Zranitelnosti SQL Injection Způsobeno nedostatečnou validací vstupů Umožňuje získat data z databáze nebo obejít přístupová práva aplikace Zranitelnosti XSS Cross-site scripting Způsobeno nedostatečnou validací vstupů Umožňují podvrhnout část obsahu webu Další zranitelnosti V060420 Stránky generující chybová hlášení Soubory, adresáře, výpisy adresářů RAC QualysGuard InfoDay 2012
    • 5. Funkce pro katalogizaci web aplikací Možnost využití Využití výsledků scanování, import do katalogu www.rac.cz Vytváření katalogu všech web aplikací (http, https, další porty) Schvalovací proces, obdoba jako u mapováníRisk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 5
    • 6. Risk Analysis Consultants www.rac.cz V060420 Průvodce pro konfiguraci RAC QualysGuard InfoDay 2012 6
    • 7. Risk Analysis Consultants www.rac.cz V060420 Průvodce pro autentizaci RAC QualysGuard InfoDay 2011 7
    • 8. Formulářové přihlašování - popis Formulářové přihlašování Používá většina webů www.rac.cz Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různéRisk Analysis Consultants Při přihlašování použity často další skryté parametry, např. cookies Není úplně triviální zjistit typ autentizace V060420 RAC QualysGuard InfoDay 2011 8
    • 9. Autentizace - podpora pro selenium IDE Formulářové přihlašování Usnadňuje autentizaci www.rac.cz Od verze WAS 2.1Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2011 9
    • 10. Autentizace - podpora pro client certifikáty Formulářové přihlašování Od verze WAS 2.1 www.rac.cz Usnadňuje autentizaci u specifických webůRisk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 10
    • 11. Crawling Přesná specifikace cíle testování White list, Black List, Explicit URL, POST Data Black List www.rac.cz Od verze WAS 2.3 – podpora selenium IDE pro definici přístupuRisk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 11
    • 12. Dynamické tagování Novinka ve specifikace aktiv Bude postupně zavedena ve všech modulech (VM, PC) www.rac.cz Nahradí ne příliš pružné rozdělení aktiv do Assets groupRisk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 12
    • 13. Discovery scan Nevyhledává zranitelnosti Pouze prochází strukturu www.rac.cz V reportu „modré“ informace , slouží hlavně k laděníRisk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 13
    • 14. Risk Analysis Consultants www.rac.cz V060420 Interaktivní reporty RAC QualysGuard InfoDay 2012 14
    • 15. Risk Analysis Consultants V060420 www.rac.cz ReportyRAC QualysGuard InfoDay 2012 15
    • 16. WAS – souhrn změn WAS 2.0 2011 New UI, WSDL Fuzzing, XHR Security Origin www.rac.cz WAS 2.1 Nov 17 2011 Selenium Authentication, Client Certificates, Additional LinksRisk Analysis Consultants (static pages), “API Framework“ WAS 2.2 Jan 2012 New HTML5 detections (engine), API Useable, XHR Testing, Report Enhancements WAS 2.3 Apr 2012 Selenium input and Improved Web Application setting (crawling) , New Enumeration, UI Facelift, Finalized API, More Detections V060420 RAC QualysGuard InfoDay 2012 16

    ×