2. Even voorstellen: Sijmen Ruwhof
Afgestudeerd Information Engineer, met informatiebeveiliging
als specialisatie
Heeft software ontwikkeld die websites geautomatiseerd
controleert op beveiligingslekken
Passies
Informatiebeveiliging (legaal hacken)
Web development (met PHP!)
3. Even voorstellen: Secundity
Beveiligingsaudits uitvoeren op webapplicaties
Vulnerability management
Security trainingen
Ontwikkelen van veilige webapplicaties
5. Doel presentatie
Bewustwording
Creëren van veiligheid mindset
Beveiliging
Het beveiligingsniveau van websites naar een hoger niveau tillen
Proces implementatie
Zelf het vulnerability management proces implementeren
15. Greybox
Combinatie black- and whitebox
Sensor heeft toegang tot broncode
Realtime applicatie- en datamanipulatie
Accurate en gedetailleerde rapporteren
Momenteel alleen nog: Acunetix’s AcuSensor technologie
17. Vulnerability: SQL Injection
Code : SELECT * FROM table
WHERE id = {$_GET[‘id’]}
Aanvalsvector : /?id='
Antwoord : "You have an error in your SQL syntax"
28. Limieten
Onzichtbare applicatiestructuur
Geen verbale foutmeldingen
Anti-automation
Logische fouten
Race conditions
Denial of service
Social engineering
File uploads
29. Top 10 web security scanners
1. Nikto
2. Paros proxy
3. WebScarab
4. WebInspect
5. Whisker/libwhisker
6. BurpSuite
7. Wikto
8. Acunetix WVS
9. Rational AppSan
10. N-Stealth
34. Tot slot
Zijn er nog vragen?
“Security is when everything is settled.
When nothing can happen to you.
Security is the denial of life.”
Bedankt voor jullie aandacht!
-- Sijmen Ruwhof