• Save
Automatizando a análise passiva de aplicações Web
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Automatizando a análise passiva de aplicações Web

on

  • 618 views

Apresentação realizada no OWASP AppSec Latam em Porto Alegre - Brazil

Apresentação realizada no OWASP AppSec Latam em Porto Alegre - Brazil

Statistics

Views

Total Views
618
Views on SlideShare
611
Embed Views
7

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 7

http://localhost 7

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Automatizando a análise passiva de aplicações Web Presentation Transcript

  • 1. Automatizando a análise passiva de aplicações Web Wagner Elias, CTO Conviso Application SecurityOWASPAppSec Latam Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  • 2. Por que automatizar? Nivelar Conhecimento da equipe de testes Garantir o mínimo de cobertura em testes manuais OWASP
  • 3. Análise Passiva O Testador irá navegar na aplicação, entender o contexto das requisições Quando realizado por um profissional com expertise em testes é mais efetiva que uma análise ativa OWASP
  • 4. Desafios Uma aplicação gera um número grande de requisições o que torna o processo lento e custoso A qualidade da análise depende completamente do skill do testador OWASP
  • 5. Muitos Mbs de dados NOT OWASP
  • 6. Proposta Automatizar parte do processo de análise através do parser de log do proxy Extrair informações que o testador deve analisar, aumentando a cobertura da análise OWASP
  • 7. WebFight Realiza o parser do log do Burp Análisa todo o cabeçalho HTTP e conteúdo das respostas extraindo informações para análise http://code.google.com/p/webfight/ OWASP
  • 8. Fluxo da Análise Carrega os Log do Parser do Triagem das Módulos de Burp Log Requisições Análise Módulos de Análise Gera o relatório JS DOM Flash Session na interface de análise Finger cache JSON Etc… print OWASP
  • 9. Command Line Rules Log do Burp Escopo Workspace OWASP
  • 10. Principais Análises Apresenta todas as requests que precisam passar por testes fuzzing Filtro em funções potencialmente vulneráveis em JS Identifica, realiza o download, decompila e apresenta o AS de arquivos SWF filtrando funções potencialmente vulneráveis Filtro de objetos DOM Possibilidade de criação customizada de filtros que ajudam a análise através do relatório OWASP
  • 11. Interface de Análise OWASP
  • 12. Talk is cheap show me the codeDEMO OWASP
  • 13. Breve no repositório de código Módulo de Taint Analysis Módulo de análise de configuração e implementação de SSL/TLS Melhorias na interface de análise OWASP
  • 14. Perguntas? OWASP
  • 15. ObrigadoWagner Elias, CTOConviso Application Security OWASP