• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
 

Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс

on

  • 11,132 views

Тарас Иващенко, Яндекс...

Тарас Иващенко, Яндекс

Администратор информационной безопасности в Яндексе. Специалист по информационной безопасности, проповедник свободного программного обеспечения, автор Termite, xCobra и участник проекта W3AF.

Тема доклада
Сканирование уязвимостей со вкусом Яндекса.

Тезисы
В докладе будет рассказано о внедрении в Яндексе сканирования сервисов на уязвимости как одного из контроля безопасности в рамках SDLC (Secure Development Life Cycle). Речь пойдет о сканировании уязвимостей на этапе тестирования сервисов, а также о сканировании сервисов, находящихся в промышленной эксплуатации. Мы рассмотрим проблемы, с которыми столкнулись, и объясним, почему в качестве основного механизма решили выбрать открытое программное обеспечение (сканер уязвимостей w3af), доработанное под наши нужды.

Statistics

Views

Total Views
11,132
Views on SlideShare
1,205
Embed Views
9,927

Actions

Likes
0
Downloads
18
Comments
0

16 Embeds 9,927

http://yac2011.yandex.ru 5912
http://yac2011.yandex.com 2069
http://tech.yandex.ru 926
http://events.yandex.ru 586
http://ya-events.narod.ru 388
http://external.events.test.tools.yandex-team.ru 10
https://tech.yandex.ru 7
http://events.indus.yandex.ru 7
http://yac.tadatuta.graymantle.yandex.ru 6
http://target122g.load.yandex.net 4
http://events.lynx.yandex.ru 4
http://yaconf2011.narod.ru 3
http://yakushevsky.events.lacerta.yandex.ru 2
http://webcache.googleusercontent.com 1
http://web-chib.events.lacerta.yandex-team.ru 1
http://news.google.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс Presentation Transcript

    • Сканирование со вкусом Яндекса Докладчик: Тарас Иващенко oxdef@yandex-team.ruМероприятие: YaC, Москва, 19 сентября 2011 года
    • План• Цикл разработки ПО• Безопасность конфигураций• Сканирование на уязвимости• Проблемы и решения• Happy end?
    • Особенности и реалии
    • Цикл разработки ПО
    • Цикл разработки ПО
    • Безопасность конфигурацийOWASP Top 10 > SecurityMisconfiguration• /Makefile, /CVS/Entries и т.п.• Устаревшие версии ПО• Отладочная информация• Доступные специнтерфейсы
    • Безопасность конфигурацийРешение• Регулярное сканирование всего: nmap + w3af + pykto• Более тысячи целей• Автоматическое оповещение ответственных администраторов• Доработки вернули в проект w3af• Profit!!11
    • Свободное ПО и Яндекс
    • Сканирование на уязвимостиТекущий подход• Наши тестировщики "умеют" ещё и безопасность• Регулярные сканирования перед релизами• Охват всех сервисов
    • Сканирование на уязвимостиТекущее решение• Проприетарное• Одно из самых мощных• Слабо поддаётся интеграции в инфраструктуру компании• "Мелочи", которые портят всё: ЧПУ, AJAX, платформозависимость ;(• Цена
    • Сканирование на уязвимости
    • Сканирование на уязвимостиw3af• Фреймворк для аудита безопасности веб-приложений• GNU GPL v2, Python (и "батарейки")• Возможность расширения: сотни плагинов• Мы не будем писать проект "с нуля"!• Международный проект со своим сообществом
    • Сканирование на уязвимостиНаши доработки• Полноценный веб-интерфейс• Пользователи• ЧПУ• Удобная аутентификация в сервисах• Тестируем веб 2.0 приложения
    • w3afВеб-интерфейс• Django• Многопользовательский режим• Планирование сканирований• Интеграция с внутренними сервисами• Статистика
    • w3afВеб-интерфейс
    • w3af ЧПУ• http://fotki.yandex.ru/top/users/fotograf-17/view/361364/ • Набор правил: /top/users/%s/view/%d/ /controller/action/%d/ ...
    • w3afУдобная аутентификация всервисах• Существующие подходы ("запись логина")• Auth-плагины: ; @include Pentest_Profile [auth.yandex] username = test_user password = ************** passport_host = passport.yandex.ru
    • Веб 1.0 -> 2.0Классический сканер c веб 2.0 работает плохо!
    • Веб 2.0Как сканироватьавтоматизированно?• Встроенный веб-браузер с JavaScript-движком• Selenium• Парсинг и подмешивание логов• ..?
    • Присоединяйся!У нас есть печеньки!...
    • Спасибо за внимание!Тарас Иващенко oxdef@yandex-team.ru