Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Dynamicke scannery webovych aplikaci v cloudu

71 views

Published on

Lightning talk z JOpenspace 2017

Published in: Software
  • Be the first to comment

  • Be the first to like this

Dynamicke scannery webovych aplikaci v cloudu

  1. 1. Dynamické skenery webových aplikací v cloudu Jan Horalík, Zonky
  2. 2. Princip ● HTTP proxy ● Sledování HTTP zpráv a URL ● Modifikace HTTP požadavků
  3. 3. Klasika – desktop ● Burp Suite ● ZAProxy
  4. 4. Budoucnost - SaaS ● Není nutná instalace ● API, integrace s CI nástroji ● Nastavení policy (OWASP, PCI, SAP, …) ● Popis prostoru aplikace – Selenium, Burp log ● Historie a správa skenů a chyb
  5. 5. Acunetix ● Dynamický, síťový scan ● Plusy – Pěkné UI ● Mínusy – Stabilita – “Tajemné” API – Pomalé
  6. 6. Qualys ● Dynamický, síťový scan ● Plusy – Stabilita – Možnost zadat více uživatelů pro aplikaci – Zdokumentované API ● Mínusy – Starší UI – API za příplatek
  7. 7. Veracode ● Statický, dynamický, knihovny ● Plusy – Snaha jít přímo k vývojáři, plugin do IDEA – Korelace statického a dynamického scanu – Databáze zranitelností v knihovnách ● Mínusy – Vyšší cena
  8. 8. Závěr ● Acunetix ● ● Qualys ● ● Veracode
  9. 9. Q&A

×