Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

QA Fest 2017. Святослав Логин. Как провести тестирование на безопасность Web application

3,301 views

Published on

В своем докладе на практических примерах поведаю вам, как проводить поиск различных видов уязвимостей для улучшения безопасности веб-приложений. Специальными гостями нашей программы будут:
- xss
- sql injection
- man in the middle
- brute force

Published in: Education
  • Be the first to comment

QA Fest 2017. Святослав Логин. Как провести тестирование на безопасность Web application

  1. 1. Киев 2016 Первый в Украине фестиваль тестирования Как провести тестирование на безопасность Web application Святослав Логин
  2. 2. Киев 2016<Как тестировать фичи прямо на продакшене с помощью Release-train и Feature flags> О себе: - Святослав Логин - QA --} Automation QA --} QA Lead в Evo.company - 4 года в тестировании - 6 проектов
  3. 3. Киев 2016<Как тестировать фичи прямо на продакшене с помощью Release-train и Feature flags>
  4. 4. Киев 2016<Как тестировать фичи прямо на продакшене с помощью Release-train и Feature flags> В evo.company входят такие проекты:
  5. 5. Киев 2016 Сегодня в программе: - XSS -> OWASP ZAP - Дамп базы данных -> SQLmap - Сниффинг -> WireShark - Подбор данных (Brute force) -> Hydra
  6. 6. Киев 2016 Пример XSS
  7. 7. Киев 2016 Классификация XSS - Отраженные (Непостоянные) - Хранимые (Постоянные) - DOM-модели
  8. 8. Киев 2016 Отраженные XSS bank.ua?month=<script><src="http://memesmix.net/medi a/created/t3aynb.jpg"></script> bank.ua SEO менеджер Пользователь Добрый день! Ваша заработная плата находится по ссылке
  9. 9. Киев 2016 Хранимые XSS bank.ua Внедряет вредоносный скрипт SEO менеджер Пользователь Открывает страницу <img src="http://inexist.ent" onerror="javascript:alert(1)"/>
  10. 10. Киев 2016 DOM-модели
  11. 11. Киев 2016 Поиск XSS -> OWASP ZAP OWASP ZAP- это инструмент для тестирования на проникновения и нахождения уязвимостей в веб- приложениях.
  12. 12. Киев 2016 - Перехват прокси - Автоматизированный сканер - Fuzzing - Поддержка аутентификаций и сессий - Мощный API на основе REST - Поддержка большого количества скриптовых языков - Активно развивается международной командой добровольцев Каковы плюсы OWASP ZAP
  13. 13. Киев 2016 Работа с OWASP ZAP
  14. 14. Киев 2016 Сортировка ошибок OWASP ZAP XSS CSRF и тд Ну такое
  15. 15. Киев 2016 Режимы атак
  16. 16. Киев 2016 Видосик
  17. 17. Киев 2016 SQL injection
  18. 18. Киев 2016 Пример SQL injection
  19. 19. Киев 2016 Поиск SQL injection -> SQLmap SQLmap- это инструмент с открытым исходным кодом для тестирования на проникновение, который автоматизирует процесс выявления и эксплуатирования уязвимостей SQL- инъекций и захват серверов баз данных.
  20. 20. Киев 2016 Работа с SQLmap -u для указания URL --random-agen для снижения подозрительной активности -tor для использования защищенного канала --dbs смотрим какие базы доступны --table смотрим таблицу --columns смотрим колонки --dump скачиваем путь к базе
  21. 21. Киев 2016 Запуск SQLmap $ python sqlmap.py -u "http://site.ua?id=34" --random-agent - tor --dbs
  22. 22. Киев 2016 Видос
  23. 23. Киев 2016 Дополнительно - level = (1 - 5) - risk = (1 - 3)
  24. 24. Киев 2016 Как защитится 1. Не помещать в БД данные без обработки. 2. Не помещать в запрос управляющие структуры и идентификаторы, введенные пользователем. 3. Добавить капчу https://haveibeenpwned.com/
  25. 25. Киев 2016 Сниффинг Клиент Сервер Хацкер Первичное соединение перехват
  26. 26. Киев 2016 Сниффинг -> Wireshark Сниффинг - Wireshark используется сетевыми специалистами по всему миру для решения проблем, анализа, разработки программного обеспечения и протоколов, а также в образовании.
  27. 27. Киев 2016 Что может WireShark - Перехватывает введенные данные в сети
  28. 28. Киев 2016 Работа с WireShark
  29. 29. Киев 2016 Работа с WireShark
  30. 30. Киев 2016 Работа с WireShark
  31. 31. Киев 2016 Работа с WireShark
  32. 32. Киев 2016 ВидосикВидосик
  33. 33. Киев 2016 Как защитится? 1. Не позволяйте посторонним лицам иметь доступ в вашу сеть. 2. Когда вы сами пользуетесь публичными точками доступа, то, хотя бы, помните об угрозе перехвата пароля. 3. Используйте VPN, эта технология способна решить все проблемы с небезопасными сетями 4. Самый действенный способ — SSL-сертификаты.
  34. 34. Киев 2016 Brute force email or username Password
  35. 35. Киев 2016 Brute force -> Hydra Hydra - Утилита для подбора аутентификационных данных методом грубой силы (brute force).
  36. 36. Киев 2016 Работа с Hydra s - ПОРТ l - ЛОГИН p - ПАРОЛЬ x - Генерация паролей для брутфорса, наберите "-x -h" для помощи o - ФАЙЛ f - Выйти, когда пара логин/пароль подобрана t - ЗАДАЧИ w - ВРЕМЯ
  37. 37. Киев 2016 Выпустить Крякена!!! $ hydra -l LoginSvyat -p 12345678 -s 80 site.ua http-post-form "/:login_name=^USER^&login_password=^PASS^:Please login" -t 5 -w 30 -f
  38. 38. Киев 2016 Видосик
  39. 39. Киев 2016 Как защитится 1. Добавить капчу 2. Добавить двухэтапную аутентификацию 3. Ввести лимиты на поступление запросов с одного IP
  40. 40. Киев 2016 Спасибо за внимание! Вопросы?

×