Your SlideShare is downloading. ×
5was 100524062135-phpapp02
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

5was 100524062135-phpapp02

369
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
369
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • Transcript

    • 1. Web Application Scanning RAC QualysGuard InfoDay 2010
    • 2.
      • Co to je webová aplikace
        • Zákaznická aplikace založená převážně na HTML protokolu
        • Jako klientské prostředí je použit webový prohlížeč (Microsoft Explorer, Mozilla Firefox, Opera)
        • Serverové prostředí založeno na webovém engine (Apache, IIS)
        • Logika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java)
      • Příklad webových aplikací
        • Portál
        • Informační systém
        • Internetový obchod, Internetové bankovnictví
        • Intranetová / extranetová aplikace
        • Redakční systém, CMS
      Webová aplikace RAC QualysGuard InfoDay 2010
    • 3. Příklad webové aplikace RAC QualysGuard InfoDay 2010
    • 4.
      • Které zranitelnosti najde QualysGuard VM
        • Zranitelnosti hostitelského serveru (Windows server, Linux)
        • Zranitelnosti webového engine (Apache, IIS)
        • Zranitelnosti skriptovacích jazyků (PHP, ASP, Java)
        • Chyby v šifrování u SSL/HTTPS
        • Zranitelnosti známých webových aplikací (OpenSource, CMS)
      • Které zranitelnosti nenajde QualysGuard VM
        • Neprohledává strukturu webové aplikace do hloubky
        • Chybové stránky uvnitř aplikace
        • Zranitelnosti nedostatečné validace vstupních parametrů (SQL Injection apod..)
        • Webové servery vyžadující autentizaci
      Co testuje QualysGuard VM RAC QualysGuard InfoDay 2010
    • 5. Modul - Web Application Scanning RAC QualysGuard InfoDay 2010
    • 6. Základní údaje webové aplikace RAC QualysGuard InfoDay 2010
    • 7.
      • Serverové přihlašování
        • Použito na některých webových serverech
      • Několik typů přihlašovaní
        • Basic
        • Digest
        • NTLM
      Přihlašovací informace RAC QualysGuard InfoDay 2010
    • 8. Zadání přihlašovacích údajů do WAS RAC QualysGuard InfoDay 2010
    • 9.
      • Formulářové přihlašování
        • Používá většina webů
        • Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různé
        • Při přihlašování použity často další skryté parametry, např. cookies
      Formulářové přihlašování RAC QualysGuard InfoDay 2010
    • 10.
      • Nutno zadat přihlašovací informace
        • Není úplně triviální, nutno ve spolupráci s vývojářem nebo použít pomocné nástroje
        • Vhodné použít např. pluginy do Mozilly Firefox: LiveHTTPHeaders , Tamper Data
        • Umožňují zobrazit textová html data mezi serverem a klientem
      • Příklad dat:
      • loggedURL=http%3A%2F%2Femail.seznam.cz%2Fticket&serviceId=email&forceSSL=0&username=novak&domain=seznam.cz&password=aaaa&js=1
      Získání údajů pro formulářové přihlášení RAC QualysGuard InfoDay 2010
    • 11. Vkládání přihlašovacích údajů RAC QualysGuard InfoDay 2010
    • 12.
      • Black list
        • V jaké části aplikace nemá probíhat testování
        • Odkazy pro odhlášení, změna hesla, administrace uživatele
      • White list
        • V jaké části aplikace má probíhat testování
        • Vhodné pro testování pouze části aplikace , např. u rozsáhlých webových aplikací
      • Brute force
        • Prověří přihlašovací formulář na kombinaci jmen a hesel
      • Vyhledání citlivých informací
        • Čísla kreditních karet
        • Výskyt libovolného textového řetězce
      Další volitelné parametry testování RAC QualysGuard InfoDay 2010
    • 13. Spuštění testu webové aplikace RAC QualysGuard InfoDay 2010
    • 14. Výsledný protokol WAS RAC QualysGuard InfoDay 2010
    • 15.
      • Všeobecné informace
        • Struktura webové aplikace
        • Odkazy na externí weby, vadné odkazy, seznam emailů
        • Vlastnosti Session, Cookies, formulářů
      • SQL Injection
        • Způsobeno nedostatečnou validací vstupů
        • Umožňuje získat data z databáze nebo obejít přístupová práva aplikace
      • XSS Cross-site scripting
        • Způsobeno nedostatečnou validací vstupů
        • Umožňují podvrhnout část obsahu webu
      • Další zranitelnosti
        • Stránky generující chybová hlášení
        • Soubory, adresáře, výpisy adresářů
        • Nálezy citlivých informací
      Typy nálezů WAS RAC QualysGuard InfoDay 2010
    • 16.
      • WAS poskytuje následující výhody
        • Automatické testování webové aplikace, možnost sledování změn v čase, audit přístupových práv uživatelů
        • Prohledání celé struktury aplikace včetně autentizace
        • Testovací algoritmus vyvíjen na základě uznávané metodologie Open Web Application Security Project (OWASP)
      • Odlišnosti od klasického penetračního testování
        • Nutnost větší spolupráce s vývojáři, nálezy jsou obtížněji interpretovatelné
        • Nenajde zranitelnosti související např. se špatnou logikou přístupových práv aplikace, session stealing
        • Ruční testování specialistou na bezpečnost webové aplikace je nutné pro komplexní kontrolu bezpečnosti
        • WAS současí QualysuGuard od 4Q2010, vývoj neustále probíhá, přes 10 verzí
      Shrnutí WAS RAC QualysGuard InfoDay 2010