SlideShare a Scribd company logo

Sijmen Ruwhof - Geautomatiseerd website vulnerability management

P
PFCongres
1 of 34
Download to read offline
Geautomatiseerd Website Vulnerability Management Ing. Sijmen Ruwhof (ZCE) PFCongres / 17 april 2010
Even voorstellen: Sijmen Ruwhof Afgestudeerd Information Engineer, met informatiebeveiliging als specialisatie Heeft software ontwikkeld die websites geautomatiseerd controleert op beveiligingslekken Passies Informatiebeveiliging (legaal hacken) Web development (met PHP!)
Even voorstellen: Secundity Beveiligingsaudits uitvoeren op webapplicaties Vulnerability management Security trainingen Ontwikkelen van veilige webapplicaties
Vulnerability Management Definiëren Detecteren Documenteren Verhelpen Valideren Publiceren
Doel presentatie Bewustwording Creëren van veiligheid mindset Beveiliging Het beveiligingsniveau van websites naar een hoger niveau tillen Proces implementatie Zelf het vulnerability management proces implementeren
Beveiliging in theorie Beschikbaarheid Bereikbaarheid, toegankelijkheid Integriteit Betrouwbaarheid, juist, rechtmatig, volledig, tijdig, eerlijk, waarheid Vertrouwelijkheid Cryptografie, need-to-know, autorisatie
Functioneel vs. Veilig
Vulnerabilities in websites Invoervalidatie Misconfiguratie Informatie publicatie Verouderde software
OWASP Top 10 - 2010 1. Injection 2. Cross Site Scripting (XSS) 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross Site Request Forgery (CSRF) 6. Security Misconfiguration 7. Failure to Restrict URL Access 8. Unvalidated Redirects and Forwards 9. Insecure Cryptographic Storage 10. Insufficient Transport Layer Protection
Applicatie assessment kan Handmatig Geautomatiseerd, of Uitbesteed worden (hint hint ;-) Met behulp van gratis, betaalde of gehuurde software
Applicatie structuur Mappen Bestanden Variabelen Sessies Processen Variabelen Formulieren
Verschillende methoden Whitebox Blackbox Greybox
Whitebox Alles is bekend: proces, structuur & variabelen Slimme software nodig om je applicatie te begrijpen Statisch
Blackbox Alleen via de interface Dynamisch
Greybox Combinatie black- and whitebox Sensor heeft toegang tot broncode Realtime applicatie- en datamanipulatie Accurate en gedetailleerde rapporteren Momenteel alleen nog: Acunetix’s AcuSensor technologie
Handmatige controle Theorie: Drie voorbeelden Praktijk: Demo
Vulnerability: SQL Injection Code : SELECT * FROM table WHERE id = {$_GET[‘id’]} Aanvalsvector : /?id=' Antwoord : "You have an error in your SQL syntax"
Vulnerability: Remote File Inclusion Code : <?php include $_GET[‘file’]; ?> Aanvalsvector : /?file=http://example.com/ Antwoord : “web page by typing &quot;example.com&quot;"
Vulnerability: OS Command Injection Code : <? shell_exec(“ping “.$_GET[‘ip’]) ?> Aanvalsvector : /?ip=; cat /etc/passwd Antwoord : "root:.*:0:[01]:” (reguliere expressie)
Demo
Geautomatiseerde controle Voor- en nadelen Voorbeelden eenvoudig te controleren Valkuilen Configuratie Limieten Web security scanners
Voor- en nadelen + Integraal + Snel + Periodiek + Kwantiteit + Goedkoop - Kwalitatief laag - Niet creatief
Eenvoudig: Injecties OS Command Injection SQL/LDAP Injection Cross Site Scripting Local File Inclusion File Enumeration Session Fixation Remote File Inclusion Buffer overflow
Eenvoudig: HTTP antwoord analyse Automatisch aanvullen van wachtwoorden Caching configuratie Content encoding HttpOnly attribuut van cookies File uploads Session ID exposure Foutmeldingen
Kwaliteitseisen Effectiviteit Aanvalsvectoren Valse positieven Valse negatieven Efficiëntie Configuratie
Oppassen Kans op verstoring Database vervuiling Acties uitvoeren
Configuratie Gebruiker authenticatie Mod_rewrite 404 pagina’s Uitsluiten: Mappen, bestanden, parameters, links POST verzoeken Uitgebreidheid aanvalsvectoren Beveiligingsmaatregelen ontwijken
Limieten Onzichtbare applicatiestructuur Geen verbale foutmeldingen Anti-automation Logische fouten Race conditions Denial of service Social engineering File uploads
Top 10 web security scanners 1. Nikto 2. Paros proxy 3. WebScarab 4. WebInspect 5. Whisker/libwhisker 6. BurpSuite 7. Wikto 8. Acunetix WVS 9. Rational AppSan 10. N-Stealth
Vulnerability management Handmatig Geautomatiseerd Veel ondersteunende software beschikbaar Processen inrichten Checklists / procedures
Tips Voorkomen Beveiliging meenemen in applicatie ontwerp Trainen op veilig programmeren Bewustwording veiligheid vergroten Na functionele realisatie de beveiliging controleren Tegenhouden Installatie van webapplicatie firewall (PHPIDS)
Tips Controleren Security auditing & monitoring Applicatie penetratietesten Processen inrichten Invoeren vulnerability management Afhandelen van: calamiteiten, fouten, hack pogingen Forensisch onderzoek faciliteren Verantwoordelijke voor applicatie beveiliging
OWASP Gedrukte boeken beschikbaar tegen kostprijs: http://stores.lulu.com/owasp
Tot slot Zijn er nog vragen? “Security is when everything is settled. When nothing can happen to you. Security is the denial of life.” Bedankt voor jullie aandacht! -- Sijmen Ruwhof

Recommended

Webinar Identity en Apparatenbeheer
Webinar Identity en ApparatenbeheerWebinar Identity en Apparatenbeheer
Webinar Identity en Apparatenbeheer
Delta-N
 
Leaflet secure coding in php
Leaflet secure coding in phpLeaflet secure coding in php
Leaflet secure coding in php
Sebyde
 
Documentbeheer continue verbetering dirkvan pamel
Documentbeheer continue verbetering dirkvan pamelDocumentbeheer continue verbetering dirkvan pamel
Documentbeheer continue verbetering dirkvan pamel
Kelly Adegeest
 
Webinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidWebinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheid
Delta-N
 
Php Secure Application Development Robert Van Der Linde
Php Secure Application Development Robert Van Der LindePhp Secure Application Development Robert Van Der Linde
Php Secure Application Development Robert Van Der Linde
phpseminar
 
In McAfee 2020, what's new?
In McAfee 2020, what's new? In McAfee 2020, what's new?
In McAfee 2020, what's new?
michaelcorley046
 
Informatiebeveiliging & Web 2.0
Informatiebeveiliging & Web 2.0Informatiebeveiliging & Web 2.0
Informatiebeveiliging & Web 2.0
Virtualbits
 
Apps en beveiliging
Apps en beveiligingApps en beveiliging
Apps en beveiliging
Dennis Reumer
 

Recommended

Webinar Identity en Apparatenbeheer
Webinar Identity en ApparatenbeheerWebinar Identity en Apparatenbeheer
Webinar Identity en Apparatenbeheer
Delta-N
 
Leaflet secure coding in php
Leaflet secure coding in phpLeaflet secure coding in php
Leaflet secure coding in php
Sebyde
 
Documentbeheer continue verbetering dirkvan pamel
Documentbeheer continue verbetering dirkvan pamelDocumentbeheer continue verbetering dirkvan pamel
Documentbeheer continue verbetering dirkvan pamel
Kelly Adegeest
 
Webinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidWebinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheid
Delta-N
 
Php Secure Application Development Robert Van Der Linde
Php Secure Application Development Robert Van Der LindePhp Secure Application Development Robert Van Der Linde
Php Secure Application Development Robert Van Der Linde
phpseminar
 
In McAfee 2020, what's new?
In McAfee 2020, what's new? In McAfee 2020, what's new?
In McAfee 2020, what's new?
michaelcorley046
 
Informatiebeveiliging & Web 2.0
Informatiebeveiliging & Web 2.0Informatiebeveiliging & Web 2.0
Informatiebeveiliging & Web 2.0
Virtualbits
 
Apps en beveiliging
Apps en beveiligingApps en beveiliging
Apps en beveiliging
Dennis Reumer
 
Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de Heer
Sogeti Nederland B.V.
 
Presentatie Barracuda: Beveiliging en social media control, 26062015
Presentatie Barracuda: Beveiliging en social media control, 26062015Presentatie Barracuda: Beveiliging en social media control, 26062015
Presentatie Barracuda: Beveiliging en social media control, 26062015
SLBdiensten
 
Supporting Continuous Testing with FITR test automation
Supporting Continuous Testing with FITR test automationSupporting Continuous Testing with FITR test automation
Supporting Continuous Testing with FITR test automation
Bas Dijkstra
 
Vest ecommerce audit
Vest ecommerce auditVest ecommerce audit
Vest ecommerce audit
Jim de Haas
 
Security presentatie
Security presentatieSecurity presentatie
Security presentatie
WideXS
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiliging
SOCIALware Benelux
 
Digitale veiligheid 2016
Digitale veiligheid 2016Digitale veiligheid 2016
Digitale veiligheid 2016
Jan de Waal
 
Gratis en degelijke toepassingen waregem
Gratis en degelijke toepassingen waregemGratis en degelijke toepassingen waregem
Gratis en degelijke toepassingen waregem
Joachimleeman.be
 
2009 10 Sdc09 Iw01 Nick Boumans Social Networking
2009 10 Sdc09 Iw01 Nick Boumans Social Networking2009 10 Sdc09 Iw01 Nick Boumans Social Networking
2009 10 Sdc09 Iw01 Nick Boumans Social Networking
Nick Boumans
 
Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12
Derk Yntema
 
Overzicht diensten Sebyde
Overzicht diensten SebydeOverzicht diensten Sebyde
Overzicht diensten Sebyde
Sebyde
 
Gratis en degelijke toepassingen Aalter
Gratis en degelijke toepassingen AalterGratis en degelijke toepassingen Aalter
Gratis en degelijke toepassingen Aalter
Joachimleeman.be
 
Sdb Presentatie
Sdb PresentatieSdb Presentatie
Sdb Presentatie
menfey
 
Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?
Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?
Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?
Digipolis Antwerpen
 
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Derk Yntema
 
Web Security
Web SecurityWeb Security
Web Security
Xavier Dekeyster
 
Web Application Security; Hacking your way in!
Web Application Security; Hacking your way in!Web Application Security; Hacking your way in!
Web Application Security; Hacking your way in!
Peter Schuler
 
Security audit van een Drupal site
Security audit van een Drupal siteSecurity audit van een Drupal site
Security audit van een Drupal site
Maurits Lawende
 
Ocp Petteo Seminar Organsiatie 2.0 13 9 2007 Ppt2003
Ocp Petteo Seminar Organsiatie 2.0 13 9 2007 Ppt2003Ocp Petteo Seminar Organsiatie 2.0 13 9 2007 Ppt2003
Ocp Petteo Seminar Organsiatie 2.0 13 9 2007 Ppt2003
Peter de Haas
 
Sophos Synchronized security
Sophos Synchronized securitySophos Synchronized security
Sophos Synchronized security
Sophos Benelux
 

More Related Content

Similar to Sijmen Ruwhof - Geautomatiseerd website vulnerability management

Security presentatie
Security presentatieSecurity presentatie
Security presentatie
WideXS
 
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Derk Yntema
 

Similar to Sijmen Ruwhof - Geautomatiseerd website vulnerability management (20)

Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de Heer
 
Presentatie Barracuda: Beveiliging en social media control, 26062015
Presentatie Barracuda: Beveiliging en social media control, 26062015Presentatie Barracuda: Beveiliging en social media control, 26062015
Presentatie Barracuda: Beveiliging en social media control, 26062015
 
Supporting Continuous Testing with FITR test automation
Supporting Continuous Testing with FITR test automationSupporting Continuous Testing with FITR test automation
Supporting Continuous Testing with FITR test automation
 
Vest ecommerce audit
Vest ecommerce auditVest ecommerce audit
Vest ecommerce audit
 
Security presentatie
Security presentatieSecurity presentatie
Security presentatie
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiliging
 
Digitale veiligheid 2016
Digitale veiligheid 2016Digitale veiligheid 2016
Digitale veiligheid 2016
 
Gratis en degelijke toepassingen waregem
Gratis en degelijke toepassingen waregemGratis en degelijke toepassingen waregem
Gratis en degelijke toepassingen waregem
 
2009 10 Sdc09 Iw01 Nick Boumans Social Networking
2009 10 Sdc09 Iw01 Nick Boumans Social Networking2009 10 Sdc09 Iw01 Nick Boumans Social Networking
2009 10 Sdc09 Iw01 Nick Boumans Social Networking
 
Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12
 
Overzicht diensten Sebyde
Overzicht diensten SebydeOverzicht diensten Sebyde
Overzicht diensten Sebyde
 
Gratis en degelijke toepassingen Aalter
Gratis en degelijke toepassingen AalterGratis en degelijke toepassingen Aalter
Gratis en degelijke toepassingen Aalter
 
Sdb Presentatie
Sdb PresentatieSdb Presentatie
Sdb Presentatie
 
Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?
Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?
Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?
 
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
 
Web Security
Web SecurityWeb Security
Web Security
 
Web Application Security; Hacking your way in!
Web Application Security; Hacking your way in!Web Application Security; Hacking your way in!
Web Application Security; Hacking your way in!
 
Security audit van een Drupal site
Security audit van een Drupal siteSecurity audit van een Drupal site
Security audit van een Drupal site
 
Ocp Petteo Seminar Organsiatie 2.0 13 9 2007 Ppt2003
Ocp Petteo Seminar Organsiatie 2.0 13 9 2007 Ppt2003Ocp Petteo Seminar Organsiatie 2.0 13 9 2007 Ppt2003
Ocp Petteo Seminar Organsiatie 2.0 13 9 2007 Ppt2003
 
Sophos Synchronized security
Sophos Synchronized securitySophos Synchronized security
Sophos Synchronized security
 

Sijmen Ruwhof - Geautomatiseerd website vulnerability management

  • 1. Geautomatiseerd Website Vulnerability Management Ing. Sijmen Ruwhof (ZCE) PFCongres / 17 april 2010
  • 2. Even voorstellen: Sijmen Ruwhof Afgestudeerd Information Engineer, met informatiebeveiliging als specialisatie Heeft software ontwikkeld die websites geautomatiseerd controleert op beveiligingslekken Passies Informatiebeveiliging (legaal hacken) Web development (met PHP!)
  • 3. Even voorstellen: Secundity Beveiligingsaudits uitvoeren op webapplicaties Vulnerability management Security trainingen Ontwikkelen van veilige webapplicaties
  • 4. Vulnerability Management Definiëren Detecteren Documenteren Verhelpen Valideren Publiceren
  • 5. Doel presentatie Bewustwording Creëren van veiligheid mindset Beveiliging Het beveiligingsniveau van websites naar een hoger niveau tillen Proces implementatie Zelf het vulnerability management proces implementeren
  • 6. Beveiliging in theorie Beschikbaarheid Bereikbaarheid, toegankelijkheid Integriteit Betrouwbaarheid, juist, rechtmatig, volledig, tijdig, eerlijk, waarheid Vertrouwelijkheid Cryptografie, need-to-know, autorisatie
  • 8. Vulnerabilities in websites Invoervalidatie Misconfiguratie Informatie publicatie Verouderde software
  • 9. OWASP Top 10 - 2010 1. Injection 2. Cross Site Scripting (XSS) 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross Site Request Forgery (CSRF) 6. Security Misconfiguration 7. Failure to Restrict URL Access 8. Unvalidated Redirects and Forwards 9. Insecure Cryptographic Storage 10. Insufficient Transport Layer Protection
  • 10. Applicatie assessment kan Handmatig Geautomatiseerd, of Uitbesteed worden (hint hint ;-) Met behulp van gratis, betaalde of gehuurde software
  • 11. Applicatie structuur Mappen Bestanden Variabelen Sessies Processen Variabelen Formulieren
  • 12. Verschillende methoden Whitebox Blackbox Greybox
  • 13. Whitebox Alles is bekend: proces, structuur & variabelen Slimme software nodig om je applicatie te begrijpen Statisch
  • 14. Blackbox Alleen via de interface Dynamisch
  • 15. Greybox Combinatie black- and whitebox Sensor heeft toegang tot broncode Realtime applicatie- en datamanipulatie Accurate en gedetailleerde rapporteren Momenteel alleen nog: Acunetix’s AcuSensor technologie
  • 16. Handmatige controle Theorie: Drie voorbeelden Praktijk: Demo
  • 17. Vulnerability: SQL Injection Code : SELECT * FROM table WHERE id = {$_GET[‘id’]} Aanvalsvector : /?id=' Antwoord : "You have an error in your SQL syntax"
  • 18. Vulnerability: Remote File Inclusion Code : <?php include $_GET[‘file’]; ?> Aanvalsvector : /?file=http://example.com/ Antwoord : “web page by typing &quot;example.com&quot;"
  • 19. Vulnerability: OS Command Injection Code : <? shell_exec(“ping “.$_GET[‘ip’]) ?> Aanvalsvector : /?ip=; cat /etc/passwd Antwoord : "root:.*:0:[01]:” (reguliere expressie)
  • 20. Demo
  • 21. Geautomatiseerde controle Voor- en nadelen Voorbeelden eenvoudig te controleren Valkuilen Configuratie Limieten Web security scanners
  • 22. Voor- en nadelen + Integraal + Snel + Periodiek + Kwantiteit + Goedkoop - Kwalitatief laag - Niet creatief
  • 23. Eenvoudig: Injecties OS Command Injection SQL/LDAP Injection Cross Site Scripting Local File Inclusion File Enumeration Session Fixation Remote File Inclusion Buffer overflow
  • 24. Eenvoudig: HTTP antwoord analyse Automatisch aanvullen van wachtwoorden Caching configuratie Content encoding HttpOnly attribuut van cookies File uploads Session ID exposure Foutmeldingen
  • 25. Kwaliteitseisen Effectiviteit Aanvalsvectoren Valse positieven Valse negatieven Efficiëntie Configuratie
  • 26. Oppassen Kans op verstoring Database vervuiling Acties uitvoeren
  • 27. Configuratie Gebruiker authenticatie Mod_rewrite 404 pagina’s Uitsluiten: Mappen, bestanden, parameters, links POST verzoeken Uitgebreidheid aanvalsvectoren Beveiligingsmaatregelen ontwijken
  • 28. Limieten Onzichtbare applicatiestructuur Geen verbale foutmeldingen Anti-automation Logische fouten Race conditions Denial of service Social engineering File uploads
  • 29. Top 10 web security scanners 1. Nikto 2. Paros proxy 3. WebScarab 4. WebInspect 5. Whisker/libwhisker 6. BurpSuite 7. Wikto 8. Acunetix WVS 9. Rational AppSan 10. N-Stealth
  • 30. Vulnerability management Handmatig Geautomatiseerd Veel ondersteunende software beschikbaar Processen inrichten Checklists / procedures
  • 31. Tips Voorkomen Beveiliging meenemen in applicatie ontwerp Trainen op veilig programmeren Bewustwording veiligheid vergroten Na functionele realisatie de beveiliging controleren Tegenhouden Installatie van webapplicatie firewall (PHPIDS)
  • 32. Tips Controleren Security auditing & monitoring Applicatie penetratietesten Processen inrichten Invoeren vulnerability management Afhandelen van: calamiteiten, fouten, hack pogingen Forensisch onderzoek faciliteren Verantwoordelijke voor applicatie beveiliging
  • 33. OWASP Gedrukte boeken beschikbaar tegen kostprijs: http://stores.lulu.com/owasp
  • 34. Tot slot Zijn er nog vragen? “Security is when everything is settled. When nothing can happen to you. Security is the denial of life.” Bedankt voor jullie aandacht! -- Sijmen Ruwhof