Web Application Scanning (WAS)

737
-1

Published on

Web Application Scanning (WAS)

Published in: Education, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
737
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • Web Application Scanning (WAS)

    1. 1. Web Application Scanning RAC QualysGuard InfoDay 2010
    2. 2. <ul><li>Co to je webová aplikace </li></ul><ul><ul><li>Zákaznická aplikace založená převážně na HTML protokolu </li></ul></ul><ul><ul><li>Jako klientské prostředí je použit webový prohlížeč (Microsoft Explorer, Mozilla Firefox, Opera) </li></ul></ul><ul><ul><li>Serverové prostředí založeno na webovém engine (Apache, IIS) </li></ul></ul><ul><ul><li>Logika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java) </li></ul></ul><ul><li>Příklad webových aplikací </li></ul><ul><ul><li>Portál </li></ul></ul><ul><ul><li>Informační systém </li></ul></ul><ul><ul><li>Internetový obchod, Internetové bankovnictví </li></ul></ul><ul><ul><li>Intranetová / extranetová aplikace </li></ul></ul><ul><ul><li>Redakční systém, CMS </li></ul></ul>Webová aplikace RAC QualysGuard InfoDay 2010
    3. 3. Příklad webové aplikace RAC QualysGuard InfoDay 2010
    4. 4. <ul><li>Které zranitelnosti najde QualysGuard VM </li></ul><ul><ul><li>Zranitelnosti hostitelského serveru (Windows server, Linux) </li></ul></ul><ul><ul><li>Zranitelnosti webového engine (Apache, IIS) </li></ul></ul><ul><ul><li>Zranitelnosti skriptovacích jazyků (PHP, ASP, Java) </li></ul></ul><ul><ul><li>Chyby v šifrování u SSL/HTTPS </li></ul></ul><ul><ul><li>Zranitelnosti známých webových aplikací (OpenSource, CMS) </li></ul></ul><ul><li>Které zranitelnosti nenajde QualysGuard VM </li></ul><ul><ul><li>Neprohledává strukturu webové aplikace do hloubky </li></ul></ul><ul><ul><li>Chybové stránky uvnitř aplikace </li></ul></ul><ul><ul><li>Zranitelnosti nedostatečné validace vstupních parametrů (SQL Injection apod..) </li></ul></ul><ul><ul><li>Webové servery vyžadující autentizaci </li></ul></ul>Co testuje QualysGuard VM RAC QualysGuard InfoDay 2010
    5. 5. Modul - Web Application Scanning RAC QualysGuard InfoDay 2010
    6. 6. Základní údaje webové aplikace RAC QualysGuard InfoDay 2010
    7. 7. <ul><li>Serverové přihlašování </li></ul><ul><ul><li>Použito na některých webových serverech </li></ul></ul><ul><li>Několik typů přihlašovaní </li></ul><ul><ul><li>Basic </li></ul></ul><ul><ul><li>Digest </li></ul></ul><ul><ul><li>NTLM </li></ul></ul>Přihlašovací informace RAC QualysGuard InfoDay 2010
    8. 8. Zadání přihlašovacích údajů do WAS RAC QualysGuard InfoDay 2010
    9. 9. <ul><li>Formulářové přihlašování </li></ul><ul><ul><li>Používá většina webů </li></ul></ul><ul><ul><li>Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různé </li></ul></ul><ul><ul><li>Při přihlašování použity často další skryté parametry, např. cookies </li></ul></ul>Formulářové přihlašování RAC QualysGuard InfoDay 2010
    10. 10. <ul><li>Nutno zadat přihlašovací informace </li></ul><ul><ul><li>Není úplně triviální, nutno ve spolupráci s vývojářem nebo použít pomocné nástroje </li></ul></ul><ul><ul><li>Vhodné použít např. pluginy do Mozilly Firefox: LiveHTTPHeaders , Tamper Data </li></ul></ul><ul><ul><li>Umožňují zobrazit textová html data mezi serverem a klientem </li></ul></ul><ul><li>Příklad dat: </li></ul><ul><li>loggedURL=http%3A%2F%2Femail.seznam.cz%2Fticket&serviceId=email&forceSSL=0&username=novak&domain=seznam.cz&password=aaaa&js=1 </li></ul>Získání údajů pro formulářové přihlášení RAC QualysGuard InfoDay 2010
    11. 11. Vkládání přihlašovacích údajů RAC QualysGuard InfoDay 2010
    12. 12. <ul><li>Black list </li></ul><ul><ul><li>V jaké části aplikace nemá probíhat testování </li></ul></ul><ul><ul><li>Odkazy pro odhlášení, změna hesla, administrace uživatele </li></ul></ul><ul><li>White list </li></ul><ul><ul><li>V jaké části aplikace má probíhat testování </li></ul></ul><ul><ul><li>Vhodné pro testování pouze části aplikace , např. u rozsáhlých webových aplikací </li></ul></ul><ul><li>Brute force </li></ul><ul><ul><li>Prověří přihlašovací formulář na kombinaci jmen a hesel </li></ul></ul><ul><li>Vyhledání citlivých informací </li></ul><ul><ul><li>Čísla kreditních karet </li></ul></ul><ul><ul><li>Výskyt libovolného textového řetězce </li></ul></ul>Další volitelné parametry testování RAC QualysGuard InfoDay 2010
    13. 13. Spuštění testu webové aplikace RAC QualysGuard InfoDay 2010
    14. 14. Výsledný protokol WAS RAC QualysGuard InfoDay 2010
    15. 15. <ul><li>Všeobecné informace </li></ul><ul><ul><li>Struktura webové aplikace </li></ul></ul><ul><ul><li>Odkazy na externí weby, vadné odkazy, seznam emailů </li></ul></ul><ul><ul><li>Vlastnosti Session, Cookies, formulářů </li></ul></ul><ul><li>SQL Injection </li></ul><ul><ul><li>Způsobeno nedostatečnou validací vstupů </li></ul></ul><ul><ul><li>Umožňuje získat data z databáze nebo obejít přístupová práva aplikace </li></ul></ul><ul><li>XSS Cross-site scripting </li></ul><ul><ul><li>Způsobeno nedostatečnou validací vstupů </li></ul></ul><ul><ul><li>Umožňují podvrhnout část obsahu webu </li></ul></ul><ul><li>Další zranitelnosti </li></ul><ul><ul><li>Stránky generující chybová hlášení </li></ul></ul><ul><ul><li>Soubory, adresáře, výpisy adresářů </li></ul></ul><ul><ul><li>Nálezy citlivých informací </li></ul></ul>Typy nálezů WAS RAC QualysGuard InfoDay 2010
    16. 16. <ul><li>WAS poskytuje následující výhody </li></ul><ul><ul><li>Automatické testování webové aplikace, možnost sledování změn v čase, audit přístupových práv uživatelů </li></ul></ul><ul><ul><li>Prohledání celé struktury aplikace včetně autentizace </li></ul></ul><ul><ul><li>Testovací algoritmus vyvíjen na základě uznávané metodologie Open Web Application Security Project (OWASP) </li></ul></ul><ul><li>Odlišnosti od klasického penetračního testování </li></ul><ul><ul><li>Nutnost větší spolupráce s vývojáři, nálezy jsou obtížněji interpretovatelné </li></ul></ul><ul><ul><li>Nenajde zranitelnosti související např. se špatnou logikou přístupových práv aplikace, session stealing </li></ul></ul><ul><ul><li>Ruční testování specialistou na bezpečnost webové aplikace je nutné pro komplexní kontrolu bezpečnosti </li></ul></ul><ul><ul><li>WAS současí QualysuGuard od 4Q2010, vývoj neustále probíhá, přes 10 verzí </li></ul></ul>Shrnutí WAS RAC QualysGuard InfoDay 2010
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×