Geautomatiseerd WebsiteVulnerability Management   Ing. Sijmen Ruwhof (ZCE)    PFCongres / 17 april 2010
Even voorstellen: Sijmen Ruwhof   Afgestudeerd Information Engineer, met informatiebeveiligingals specialisatie   Heeft so...
Even voorstellen: Secundity  Beveiligingsaudits uitvoeren op webapplicaties  Vulnerability management  Security trainingen...
Vulnerability Management  Definiëren  Detecteren  Documenteren  Verhelpen  Valideren  Publiceren
Doel presentatieBewustwording  Creëren van veiligheid mindsetBeveiliging  Het beveiligingsniveau van websites naar een hog...
Beveiliging in theorieBeschikbaarheid  Bereikbaarheid, toegankelijkheidIntegriteit   Betrouwbaarheid, juist, rechtmatig, v...
Functioneel vs. Veilig
Vulnerabilities in websites  Invoervalidatie  Misconfiguratie  Informatie publicatie  Verouderde software
OWASP Top 10 - 20101.    Injection2.    Cross Site Scripting (XSS)3.    Broken Authentication and Session Management4.    ...
Applicatie assessment kan  Handmatig  Geautomatiseerd, of  Uitbesteed worden (hint hint ;-)Met behulp van gratis, betaalde...
Applicatie structuur  Mappen  Bestanden  Variabelen  Sessies  Processen     Variabelen     Formulieren
Verschillende methoden  Whitebox  Blackbox  Greybox
Whitebox  Alles is bekend: proces, structuur & variabelen  Slimme software nodig om je applicatie te begrijpen  Statisch
Blackbox  Alleen via de interface  Dynamisch
Greybox  Combinatie black- and whitebox  Sensor heeft toegang tot broncode  Realtime applicatie- en datamanipulatie  Accur...
Handmatige controle  Theorie: Drie voorbeelden  Praktijk: Demo
Vulnerability: SQL InjectionCode       : SELECT * FROM table                WHERE id = {$_GET[‘id’]}Aanvalsvector : /?id=A...
Vulnerability: Remote File InclusionCode       : <?php   include $_GET[‘file’]; ?>Aanvalsvector : /?file=http://example.co...
Vulnerability: OS Command InjectionCode       : <? shell_exec(“ping    “.$_GET[‘ip’]) ?>Aanvalsvector : /?ip=; cat /etc/pa...
Demo
Geautomatiseerde controle  Voor- en nadelen  Voorbeelden eenvoudig te controleren  Valkuilen  Configuratie  Limieten  Web ...
Voor- en nadelen+   Integraal+   Snel+   Periodiek+   Kwantiteit+   Goedkoop-   Kwalitatief laag-   Niet creatief
Eenvoudig: Injecties  OS Command Injection  SQL/LDAP Injection  Cross Site Scripting  Local File Inclusion  File Enumerati...
Eenvoudig: HTTP antwoord analyse  Automatisch aanvullen van wachtwoorden  Caching configuratie  Content encoding  HttpOnly...
KwaliteitseisenEffectiviteit   Aanvalsvectoren   Valse positieven   Valse negatievenEfficiëntie   Configuratie
Oppassen  Kans op verstoring  Database vervuiling  Acties uitvoeren
Configuratie  Gebruiker authenticatie  Mod_rewrite  404 pagina’s  Uitsluiten: Mappen, bestanden, parameters, links  POST v...
Limieten  Onzichtbare applicatiestructuur  Geen verbale foutmeldingen  Anti-automation  Logische fouten  Race conditions  ...
Top 10 web security scanners1.    Nikto2.    Paros proxy3.    WebScarab4.    WebInspect5.    Whisker/libwhisker6.    BurpS...
Vulnerability management  Handmatig  Geautomatiseerd  Veel ondersteunende software beschikbaar  Processen inrichten  Check...
TipsVoorkomen  Beveiliging meenemen in applicatie ontwerp  Trainen op veilig programmeren  Bewustwording veiligheid vergro...
TipsControleren  Security auditing & monitoring  Applicatie penetratietestenProcessen inrichten  Invoeren vulnerability ma...
OWASPGedrukte boeken beschikbaar tegen kostprijs:http://stores.lulu.com/owasp
Tot slotZijn er nog vragen?      “Security is when everything is settled.      When nothing can happen to you.      Securi...
Upcoming SlideShare
Loading in...5
×

Geautomatiseerd website vulnerability management

284

Published on

Websitebeveiliging is een onderwerp waaraan eigenlijk pas sinds 2003 echt aandacht aan wordt besteed. In tegenstelling tot wat de meeste klanten verwachten, zijn bijna alle ontwikkelde websites niet zo veilig geprogrammeerd, als dat men zou verwachten. In deze presentatie zal worden verteld hoe u de beveiliging van websites geautomatiseerd kan gecontroleren, door middel van de nieuwste inzichten en software tools op het gebied van website vulnerability management.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
284
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Geautomatiseerd website vulnerability management

  1. 1. Geautomatiseerd WebsiteVulnerability Management Ing. Sijmen Ruwhof (ZCE) PFCongres / 17 april 2010
  2. 2. Even voorstellen: Sijmen Ruwhof Afgestudeerd Information Engineer, met informatiebeveiligingals specialisatie Heeft software ontwikkeld die websites geautomatiseerdcontroleert op beveiligingslekkenPassies Informatiebeveiliging (legaal hacken) Web development (met PHP!)
  3. 3. Even voorstellen: Secundity Beveiligingsaudits uitvoeren op webapplicaties Vulnerability management Security trainingen Ontwikkelen van veilige webapplicaties
  4. 4. Vulnerability Management Definiëren Detecteren Documenteren Verhelpen Valideren Publiceren
  5. 5. Doel presentatieBewustwording Creëren van veiligheid mindsetBeveiliging Het beveiligingsniveau van websites naar een hoger niveau tillenProces implementatie Zelf het vulnerability management proces implementeren
  6. 6. Beveiliging in theorieBeschikbaarheid Bereikbaarheid, toegankelijkheidIntegriteit Betrouwbaarheid, juist, rechtmatig, volledig, tijdig, eerlijk,waarheidVertrouwelijkheid Cryptografie, need-to-know, autorisatie
  7. 7. Functioneel vs. Veilig
  8. 8. Vulnerabilities in websites Invoervalidatie Misconfiguratie Informatie publicatie Verouderde software
  9. 9. OWASP Top 10 - 20101. Injection2. Cross Site Scripting (XSS)3. Broken Authentication and Session Management4. Insecure Direct Object References5. Cross Site Request Forgery (CSRF)6. Security Misconfiguration7. Failure to Restrict URL Access8. Unvalidated Redirects and Forwards9. Insecure Cryptographic Storage10. Insufficient Transport Layer Protection
  10. 10. Applicatie assessment kan Handmatig Geautomatiseerd, of Uitbesteed worden (hint hint ;-)Met behulp van gratis, betaalde of gehuurde software
  11. 11. Applicatie structuur Mappen Bestanden Variabelen Sessies Processen Variabelen Formulieren
  12. 12. Verschillende methoden Whitebox Blackbox Greybox
  13. 13. Whitebox Alles is bekend: proces, structuur & variabelen Slimme software nodig om je applicatie te begrijpen Statisch
  14. 14. Blackbox Alleen via de interface Dynamisch
  15. 15. Greybox Combinatie black- and whitebox Sensor heeft toegang tot broncode Realtime applicatie- en datamanipulatie Accurate en gedetailleerde rapporterenMomenteel alleen nog: Acunetix’s AcuSensor technologie
  16. 16. Handmatige controle Theorie: Drie voorbeelden Praktijk: Demo
  17. 17. Vulnerability: SQL InjectionCode : SELECT * FROM table WHERE id = {$_GET[‘id’]}Aanvalsvector : /?id=Antwoord : "You have an error in your SQL syntax"
  18. 18. Vulnerability: Remote File InclusionCode : <?php include $_GET[‘file’]; ?>Aanvalsvector : /?file=http://example.com/Antwoord : “web page by typing &quot;example.com&quot;"
  19. 19. Vulnerability: OS Command InjectionCode : <? shell_exec(“ping “.$_GET[‘ip’]) ?>Aanvalsvector : /?ip=; cat /etc/passwdAntwoord : "root:.*:0:[01]:” (reguliere expressie)
  20. 20. Demo
  21. 21. Geautomatiseerde controle Voor- en nadelen Voorbeelden eenvoudig te controleren Valkuilen Configuratie Limieten Web security scanners
  22. 22. Voor- en nadelen+ Integraal+ Snel+ Periodiek+ Kwantiteit+ Goedkoop- Kwalitatief laag- Niet creatief
  23. 23. Eenvoudig: Injecties OS Command Injection SQL/LDAP Injection Cross Site Scripting Local File Inclusion File Enumeration Session Fixation Remote File Inclusion Buffer overflow
  24. 24. Eenvoudig: HTTP antwoord analyse Automatisch aanvullen van wachtwoorden Caching configuratie Content encoding HttpOnly attribuut van cookies File uploads Session ID exposure Foutmeldingen
  25. 25. KwaliteitseisenEffectiviteit Aanvalsvectoren Valse positieven Valse negatievenEfficiëntie Configuratie
  26. 26. Oppassen Kans op verstoring Database vervuiling Acties uitvoeren
  27. 27. Configuratie Gebruiker authenticatie Mod_rewrite 404 pagina’s Uitsluiten: Mappen, bestanden, parameters, links POST verzoeken Uitgebreidheid aanvalsvectoren Beveiligingsmaatregelen ontwijken
  28. 28. Limieten Onzichtbare applicatiestructuur Geen verbale foutmeldingen Anti-automation Logische fouten Race conditions Denial of service Social engineering File uploads
  29. 29. Top 10 web security scanners1. Nikto2. Paros proxy3. WebScarab4. WebInspect5. Whisker/libwhisker6. BurpSuite7. Wikto8. Acunetix WVS9. Rational AppSan10. N-Stealth
  30. 30. Vulnerability management Handmatig Geautomatiseerd Veel ondersteunende software beschikbaar Processen inrichten Checklists / procedures
  31. 31. TipsVoorkomen Beveiliging meenemen in applicatie ontwerp Trainen op veilig programmeren Bewustwording veiligheid vergroten Na functionele realisatie de beveiliging controlerenTegenhouden Installatie van webapplicatie firewall (PHPIDS)
  32. 32. TipsControleren Security auditing & monitoring Applicatie penetratietestenProcessen inrichten Invoeren vulnerability management Afhandelen van: calamiteiten, fouten, hack pogingen Forensisch onderzoek faciliteren Verantwoordelijke voor applicatie beveiliging
  33. 33. OWASPGedrukte boeken beschikbaar tegen kostprijs:http://stores.lulu.com/owasp
  34. 34. Tot slotZijn er nog vragen? “Security is when everything is settled. When nothing can happen to you. Security is the denial of life.”Bedankt voor jullie aandacht! -- Sijmen Ruwhof
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×