SlideShare a Scribd company logo
Geautomatiseerd Website
Vulnerability Management

   Ing. Sijmen Ruwhof (ZCE)

    PFCongres / 17 april 2010
Even voorstellen: Sijmen Ruwhof

   Afgestudeerd Information Engineer, met informatiebeveiliging
als specialisatie
   Heeft software ontwikkeld die websites geautomatiseerd
controleert op beveiligingslekken

Passies
  Informatiebeveiliging (legaal hacken)
  Web development (met PHP!)
Even voorstellen: Secundity

  Beveiligingsaudits uitvoeren op webapplicaties
  Vulnerability management
  Security trainingen
  Ontwikkelen van veilige webapplicaties
Vulnerability Management

  Definiëren
  Detecteren
  Documenteren
  Verhelpen
  Valideren
  Publiceren
Doel presentatie

Bewustwording
  Creëren van veiligheid mindset

Beveiliging
  Het beveiligingsniveau van websites naar een hoger niveau tillen

Proces implementatie
  Zelf het vulnerability management proces implementeren
Beveiliging in theorie

Beschikbaarheid
  Bereikbaarheid, toegankelijkheid

Integriteit
   Betrouwbaarheid, juist, rechtmatig, volledig, tijdig, eerlijk,
waarheid

Vertrouwelijkheid
  Cryptografie, need-to-know, autorisatie
Functioneel vs. Veilig
Vulnerabilities in websites

  Invoervalidatie
  Misconfiguratie
  Informatie publicatie
  Verouderde software
OWASP Top 10 - 2010

1.    Injection
2.    Cross Site Scripting (XSS)
3.    Broken Authentication and Session Management
4.    Insecure Direct Object References
5.    Cross Site Request Forgery (CSRF)
6.    Security Misconfiguration
7.    Failure to Restrict URL Access
8.    Unvalidated Redirects and Forwards
9.    Insecure Cryptographic Storage
10.   Insufficient Transport Layer Protection
Applicatie assessment kan

  Handmatig
  Geautomatiseerd, of
  Uitbesteed worden (hint hint ;-)

Met behulp van gratis, betaalde of gehuurde software
Applicatie structuur

  Mappen
  Bestanden
  Variabelen
  Sessies
  Processen
     Variabelen
     Formulieren
Verschillende methoden

  Whitebox
  Blackbox
  Greybox
Whitebox

  Alles is bekend: proces, structuur & variabelen
  Slimme software nodig om je applicatie te begrijpen
  Statisch
Blackbox

  Alleen via de interface
  Dynamisch
Greybox

  Combinatie black- and whitebox
  Sensor heeft toegang tot broncode
  Realtime applicatie- en datamanipulatie
  Accurate en gedetailleerde rapporteren

Momenteel alleen nog: Acunetix’s AcuSensor technologie
Handmatige controle

  Theorie: Drie voorbeelden
  Praktijk: Demo
Vulnerability: SQL Injection
Code       : SELECT * FROM table
                WHERE id = {$_GET[‘id’]}
Aanvalsvector : /?id='
Antwoord   : "You have an error in your SQL syntax"
Vulnerability: Remote File Inclusion

Code       : <?php   include $_GET[‘file’]; ?>
Aanvalsvector : /?file=http://example.com/
Antwoord   : “web page by typing &quot;example.com&quot;"
Vulnerability: OS Command Injection

Code       : <? shell_exec(“ping    “.$_GET[‘ip’]) ?>
Aanvalsvector : /?ip=; cat /etc/passwd
Antwoord   : "root:.*:0:[01]:” (reguliere expressie)
Demo
Geautomatiseerde controle

  Voor- en nadelen
  Voorbeelden eenvoudig te controleren
  Valkuilen
  Configuratie
  Limieten
  Web security scanners
Voor- en nadelen

+   Integraal
+   Snel
+   Periodiek
+   Kwantiteit
+   Goedkoop
-   Kwalitatief laag
-   Niet creatief
Eenvoudig: Injecties

  OS Command Injection
  SQL/LDAP Injection
  Cross Site Scripting
  Local File Inclusion
  File Enumeration
  Session Fixation
  Remote File Inclusion
  Buffer overflow
Eenvoudig: HTTP antwoord analyse

  Automatisch aanvullen van wachtwoorden
  Caching configuratie
  Content encoding
  HttpOnly attribuut van cookies
  File uploads
  Session ID exposure
  Foutmeldingen
Kwaliteitseisen

Effectiviteit
   Aanvalsvectoren
   Valse positieven
   Valse negatieven

Efficiëntie
   Configuratie
Oppassen

  Kans op verstoring
  Database vervuiling
  Acties uitvoeren
Configuratie

  Gebruiker authenticatie
  Mod_rewrite
  404 pagina’s
  Uitsluiten: Mappen, bestanden, parameters, links
  POST verzoeken
  Uitgebreidheid aanvalsvectoren
  Beveiligingsmaatregelen ontwijken
Limieten

  Onzichtbare applicatiestructuur
  Geen verbale foutmeldingen
  Anti-automation
  Logische fouten
  Race conditions
  Denial of service
  Social engineering
  File uploads
Top 10 web security scanners

1.    Nikto
2.    Paros proxy
3.    WebScarab
4.    WebInspect
5.    Whisker/libwhisker
6.    BurpSuite
7.    Wikto
8.    Acunetix WVS
9.    Rational AppSan
10.   N-Stealth
Vulnerability management

  Handmatig
  Geautomatiseerd
  Veel ondersteunende software beschikbaar
  Processen inrichten
  Checklists / procedures
Tips

Voorkomen
  Beveiliging meenemen in applicatie ontwerp
  Trainen op veilig programmeren
  Bewustwording veiligheid vergroten
  Na functionele realisatie de beveiliging controleren

Tegenhouden
  Installatie van webapplicatie firewall (PHPIDS)
Tips

Controleren
  Security auditing & monitoring
  Applicatie penetratietesten

Processen inrichten
  Invoeren vulnerability management
  Afhandelen van: calamiteiten, fouten, hack pogingen
  Forensisch onderzoek faciliteren
  Verantwoordelijke voor applicatie beveiliging
OWASP

Gedrukte boeken beschikbaar tegen kostprijs:
http://stores.lulu.com/owasp
Tot slot

Zijn er nog vragen?

      “Security is when everything is settled.
      When nothing can happen to you.
      Security is the denial of life.”


Bedankt voor jullie aandacht!
 -- Sijmen Ruwhof

More Related Content

Similar to Sijmen Ruwhof - Geautomatiseerd website vulnerability management

Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de Heer
Sogeti Nederland B.V.
 
Presentatie Barracuda: Beveiliging en social media control, 26062015
Presentatie Barracuda:  Beveiliging en social media control, 26062015Presentatie Barracuda:  Beveiliging en social media control, 26062015
Presentatie Barracuda: Beveiliging en social media control, 26062015
SLBdiensten
 
Supporting Continuous Testing with FITR test automation
Supporting Continuous Testing with FITR test automationSupporting Continuous Testing with FITR test automation
Supporting Continuous Testing with FITR test automation
Bas Dijkstra
 
Vest ecommerce audit
Vest ecommerce auditVest ecommerce audit
Vest ecommerce audit
Jim de Haas
 
Security presentatie
Security presentatieSecurity presentatie
Security presentatie
WideXS
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiliging
SOCIALware Benelux
 
Digitale veiligheid 2016
Digitale veiligheid 2016Digitale veiligheid 2016
Digitale veiligheid 2016
Jan de Waal
 
Gratis en degelijke toepassingen waregem
Gratis en degelijke toepassingen   waregemGratis en degelijke toepassingen   waregem
Gratis en degelijke toepassingen waregem
Joachimleeman.be
 
2009 10 Sdc09 Iw01 Nick Boumans Social Networking
2009 10 Sdc09 Iw01 Nick Boumans   Social Networking2009 10 Sdc09 Iw01 Nick Boumans   Social Networking
2009 10 Sdc09 Iw01 Nick Boumans Social Networking
Nick Boumans
 
Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12
Derk Yntema
 
Overzicht diensten Sebyde
Overzicht diensten SebydeOverzicht diensten Sebyde
Overzicht diensten Sebyde
Sebyde
 
Gratis en degelijke toepassingen Aalter
Gratis en degelijke toepassingen   AalterGratis en degelijke toepassingen   Aalter
Gratis en degelijke toepassingen Aalter
Joachimleeman.be
 
Sdb Presentatie
Sdb PresentatieSdb Presentatie
Sdb Presentatie
menfey
 
Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?
Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?
Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?
Digipolis Antwerpen
 
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV  | Security Testing | Security Awareness | Secure Devel...Introductie Sebyde BV  | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Derk Yntema
 
Web Security
Web SecurityWeb Security
Web Security
Xavier Dekeyster
 
Web Application Security; Hacking your way in!
Web Application Security; Hacking your way in!Web Application Security; Hacking your way in!
Web Application Security; Hacking your way in!
Peter Schuler
 
Security audit van een Drupal site
Security audit van een Drupal siteSecurity audit van een Drupal site
Security audit van een Drupal site
Maurits Lawende
 
Ocp Petteo Seminar Organsiatie 2.0 13 9 2007 Ppt2003
Ocp Petteo   Seminar Organsiatie 2.0   13 9 2007 Ppt2003Ocp Petteo   Seminar Organsiatie 2.0   13 9 2007 Ppt2003
Ocp Petteo Seminar Organsiatie 2.0 13 9 2007 Ppt2003
Peter de Haas
 
Sophos Synchronized security
Sophos Synchronized securitySophos Synchronized security
Sophos Synchronized security
Sophos Benelux
 

Similar to Sijmen Ruwhof - Geautomatiseerd website vulnerability management (20)

Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de Heer
 
Presentatie Barracuda: Beveiliging en social media control, 26062015
Presentatie Barracuda:  Beveiliging en social media control, 26062015Presentatie Barracuda:  Beveiliging en social media control, 26062015
Presentatie Barracuda: Beveiliging en social media control, 26062015
 
Supporting Continuous Testing with FITR test automation
Supporting Continuous Testing with FITR test automationSupporting Continuous Testing with FITR test automation
Supporting Continuous Testing with FITR test automation
 
Vest ecommerce audit
Vest ecommerce auditVest ecommerce audit
Vest ecommerce audit
 
Security presentatie
Security presentatieSecurity presentatie
Security presentatie
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiliging
 
Digitale veiligheid 2016
Digitale veiligheid 2016Digitale veiligheid 2016
Digitale veiligheid 2016
 
Gratis en degelijke toepassingen waregem
Gratis en degelijke toepassingen   waregemGratis en degelijke toepassingen   waregem
Gratis en degelijke toepassingen waregem
 
2009 10 Sdc09 Iw01 Nick Boumans Social Networking
2009 10 Sdc09 Iw01 Nick Boumans   Social Networking2009 10 Sdc09 Iw01 Nick Boumans   Social Networking
2009 10 Sdc09 Iw01 Nick Boumans Social Networking
 
Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12
 
Overzicht diensten Sebyde
Overzicht diensten SebydeOverzicht diensten Sebyde
Overzicht diensten Sebyde
 
Gratis en degelijke toepassingen Aalter
Gratis en degelijke toepassingen   AalterGratis en degelijke toepassingen   Aalter
Gratis en degelijke toepassingen Aalter
 
Sdb Presentatie
Sdb PresentatieSdb Presentatie
Sdb Presentatie
 
Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?
Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?
Meetup 11/05/2017 - IT Security: hoe wapenen we onszelf?
 
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV  | Security Testing | Security Awareness | Secure Devel...Introductie Sebyde BV  | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
 
Web Security
Web SecurityWeb Security
Web Security
 
Web Application Security; Hacking your way in!
Web Application Security; Hacking your way in!Web Application Security; Hacking your way in!
Web Application Security; Hacking your way in!
 
Security audit van een Drupal site
Security audit van een Drupal siteSecurity audit van een Drupal site
Security audit van een Drupal site
 
Ocp Petteo Seminar Organsiatie 2.0 13 9 2007 Ppt2003
Ocp Petteo   Seminar Organsiatie 2.0   13 9 2007 Ppt2003Ocp Petteo   Seminar Organsiatie 2.0   13 9 2007 Ppt2003
Ocp Petteo Seminar Organsiatie 2.0 13 9 2007 Ppt2003
 
Sophos Synchronized security
Sophos Synchronized securitySophos Synchronized security
Sophos Synchronized security
 

Sijmen Ruwhof - Geautomatiseerd website vulnerability management

  • 1. Geautomatiseerd Website Vulnerability Management Ing. Sijmen Ruwhof (ZCE) PFCongres / 17 april 2010
  • 2. Even voorstellen: Sijmen Ruwhof Afgestudeerd Information Engineer, met informatiebeveiliging als specialisatie Heeft software ontwikkeld die websites geautomatiseerd controleert op beveiligingslekken Passies Informatiebeveiliging (legaal hacken) Web development (met PHP!)
  • 3. Even voorstellen: Secundity Beveiligingsaudits uitvoeren op webapplicaties Vulnerability management Security trainingen Ontwikkelen van veilige webapplicaties
  • 4. Vulnerability Management Definiëren Detecteren Documenteren Verhelpen Valideren Publiceren
  • 5. Doel presentatie Bewustwording Creëren van veiligheid mindset Beveiliging Het beveiligingsniveau van websites naar een hoger niveau tillen Proces implementatie Zelf het vulnerability management proces implementeren
  • 6. Beveiliging in theorie Beschikbaarheid Bereikbaarheid, toegankelijkheid Integriteit Betrouwbaarheid, juist, rechtmatig, volledig, tijdig, eerlijk, waarheid Vertrouwelijkheid Cryptografie, need-to-know, autorisatie
  • 8. Vulnerabilities in websites Invoervalidatie Misconfiguratie Informatie publicatie Verouderde software
  • 9. OWASP Top 10 - 2010 1. Injection 2. Cross Site Scripting (XSS) 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross Site Request Forgery (CSRF) 6. Security Misconfiguration 7. Failure to Restrict URL Access 8. Unvalidated Redirects and Forwards 9. Insecure Cryptographic Storage 10. Insufficient Transport Layer Protection
  • 10. Applicatie assessment kan Handmatig Geautomatiseerd, of Uitbesteed worden (hint hint ;-) Met behulp van gratis, betaalde of gehuurde software
  • 11. Applicatie structuur Mappen Bestanden Variabelen Sessies Processen Variabelen Formulieren
  • 12. Verschillende methoden Whitebox Blackbox Greybox
  • 13. Whitebox Alles is bekend: proces, structuur & variabelen Slimme software nodig om je applicatie te begrijpen Statisch
  • 14. Blackbox Alleen via de interface Dynamisch
  • 15. Greybox Combinatie black- and whitebox Sensor heeft toegang tot broncode Realtime applicatie- en datamanipulatie Accurate en gedetailleerde rapporteren Momenteel alleen nog: Acunetix’s AcuSensor technologie
  • 16. Handmatige controle Theorie: Drie voorbeelden Praktijk: Demo
  • 17. Vulnerability: SQL Injection Code : SELECT * FROM table WHERE id = {$_GET[‘id’]} Aanvalsvector : /?id=' Antwoord : "You have an error in your SQL syntax"
  • 18. Vulnerability: Remote File Inclusion Code : <?php include $_GET[‘file’]; ?> Aanvalsvector : /?file=http://example.com/ Antwoord : “web page by typing &quot;example.com&quot;"
  • 19. Vulnerability: OS Command Injection Code : <? shell_exec(“ping “.$_GET[‘ip’]) ?> Aanvalsvector : /?ip=; cat /etc/passwd Antwoord : "root:.*:0:[01]:” (reguliere expressie)
  • 20. Demo
  • 21. Geautomatiseerde controle Voor- en nadelen Voorbeelden eenvoudig te controleren Valkuilen Configuratie Limieten Web security scanners
  • 22. Voor- en nadelen + Integraal + Snel + Periodiek + Kwantiteit + Goedkoop - Kwalitatief laag - Niet creatief
  • 23. Eenvoudig: Injecties OS Command Injection SQL/LDAP Injection Cross Site Scripting Local File Inclusion File Enumeration Session Fixation Remote File Inclusion Buffer overflow
  • 24. Eenvoudig: HTTP antwoord analyse Automatisch aanvullen van wachtwoorden Caching configuratie Content encoding HttpOnly attribuut van cookies File uploads Session ID exposure Foutmeldingen
  • 25. Kwaliteitseisen Effectiviteit Aanvalsvectoren Valse positieven Valse negatieven Efficiëntie Configuratie
  • 26. Oppassen Kans op verstoring Database vervuiling Acties uitvoeren
  • 27. Configuratie Gebruiker authenticatie Mod_rewrite 404 pagina’s Uitsluiten: Mappen, bestanden, parameters, links POST verzoeken Uitgebreidheid aanvalsvectoren Beveiligingsmaatregelen ontwijken
  • 28. Limieten Onzichtbare applicatiestructuur Geen verbale foutmeldingen Anti-automation Logische fouten Race conditions Denial of service Social engineering File uploads
  • 29. Top 10 web security scanners 1. Nikto 2. Paros proxy 3. WebScarab 4. WebInspect 5. Whisker/libwhisker 6. BurpSuite 7. Wikto 8. Acunetix WVS 9. Rational AppSan 10. N-Stealth
  • 30. Vulnerability management Handmatig Geautomatiseerd Veel ondersteunende software beschikbaar Processen inrichten Checklists / procedures
  • 31. Tips Voorkomen Beveiliging meenemen in applicatie ontwerp Trainen op veilig programmeren Bewustwording veiligheid vergroten Na functionele realisatie de beveiliging controleren Tegenhouden Installatie van webapplicatie firewall (PHPIDS)
  • 32. Tips Controleren Security auditing & monitoring Applicatie penetratietesten Processen inrichten Invoeren vulnerability management Afhandelen van: calamiteiten, fouten, hack pogingen Forensisch onderzoek faciliteren Verantwoordelijke voor applicatie beveiliging
  • 33. OWASP Gedrukte boeken beschikbaar tegen kostprijs: http://stores.lulu.com/owasp
  • 34. Tot slot Zijn er nog vragen? “Security is when everything is settled. When nothing can happen to you. Security is the denial of life.” Bedankt voor jullie aandacht! -- Sijmen Ruwhof