Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Киев 2016
Первый в Украине фестиваль тестирования
Как провести тестирование
на безопасность Web application
Святослав Логин
Киев 2016<Как тестировать фичи прямо на продакшене с помощью Release-train и Feature flags>
О себе:
- Святослав Логин
- QA...
Киев 2016<Как тестировать фичи прямо на продакшене с помощью Release-train и Feature flags>
Киев 2016<Как тестировать фичи прямо на продакшене с помощью Release-train и Feature flags>
В evo.company входят такие про...
Киев 2016
Сегодня в программе:
- XSS -> OWASP ZAP
- Дамп базы данных -> SQLmap
- Сниффинг -> WireShark
- Подбор данных (Br...
Киев 2016
Пример XSS
Киев 2016
Классификация XSS
- Отраженные (Непостоянные)
- Хранимые (Постоянные)
- DOM-модели
Киев 2016
Отраженные XSS
bank.ua?month=<script><src="http://memesmix.net/medi
a/created/t3aynb.jpg"></script>
bank.ua
SEO ...
Киев 2016
Хранимые XSS
bank.ua
Внедряет
вредоносный
скрипт
SEO менеджер Пользователь
Открывает
страницу
<img src="http://i...
Киев 2016
DOM-модели
Киев 2016
Поиск XSS -> OWASP ZAP
OWASP ZAP- это инструмент для
тестирования на проникновения и
нахождения уязвимостей в ве...
Киев 2016
- Перехват прокси
- Автоматизированный сканер
- Fuzzing
- Поддержка аутентификаций и
сессий
- Мощный API на осно...
Киев 2016
Работа с OWASP ZAP
Киев 2016
Сортировка ошибок OWASP ZAP
XSS
CSRF и
тд
Ну такое
Киев 2016
Режимы атак
Киев 2016
Видосик
Киев 2016
SQL injection
Киев 2016
Пример SQL injection
Киев 2016
Поиск SQL injection -> SQLmap
SQLmap- это инструмент с открытым
исходным кодом для тестирования на
проникновение...
Киев 2016
Работа с SQLmap
-u для указания URL
--random-agen для снижения подозрительной
активности
-tor для использования ...
Киев 2016
Запуск SQLmap
$ python sqlmap.py -u "http://site.ua?id=34" --random-agent -
tor --dbs
Киев 2016
Видос
Киев 2016
Дополнительно
- level = (1 - 5)
- risk = (1 - 3)
Киев 2016
Как защитится
1. Не помещать в БД данные без обработки.
2. Не помещать в запрос управляющие структуры и
идентифи...
Киев 2016
Сниффинг
Клиент Сервер
Хацкер
Первичное соединение
перехват
Киев 2016
Сниффинг -> Wireshark
Сниффинг
- Wireshark используется сетевыми
специалистами по всему миру
для решения проблем...
Киев 2016
Что может WireShark
- Перехватывает введенные
данные в сети
Киев 2016
Работа с WireShark
Киев 2016
Работа с WireShark
Киев 2016
Работа с WireShark
Киев 2016
Работа с WireShark
Киев 2016
ВидосикВидосик
Киев 2016
Как защитится?
1. Не позволяйте посторонним лицам иметь доступ
в вашу сеть.
2. Когда вы сами пользуетесь публичн...
Киев 2016
Brute force
email or username Password
Киев 2016
Brute force -> Hydra
Hydra - Утилита для подбора
аутентификационных данных
методом грубой силы (brute
force).
Киев 2016
Работа с Hydra
s - ПОРТ
l - ЛОГИН
p - ПАРОЛЬ
x - Генерация паролей для брутфорса, наберите "-x -h"
для помощи
o ...
Киев 2016
Выпустить Крякена!!!
$ hydra -l LoginSvyat -p 12345678 -s 80 site.ua http-post-form
"/:login_name=^USER^&login_p...
Киев 2016
Видосик
Киев 2016
Как защитится
1. Добавить капчу
2. Добавить двухэтапную аутентификацию
3. Ввести лимиты на поступление запросов ...
Киев 2016
Спасибо за внимание!
Вопросы?
Upcoming SlideShare
Loading in …5
×

QA Fest 2017. Святослав Логин. Как провести тестирование на безопасность Web application

3,196 views

Published on

В своем докладе на практических примерах поведаю вам, как проводить поиск различных видов уязвимостей для улучшения безопасности веб-приложений. Специальными гостями нашей программы будут:
- xss
- sql injection
- man in the middle
- brute force

Published in: Education
  • Be the first to comment

QA Fest 2017. Святослав Логин. Как провести тестирование на безопасность Web application

  1. 1. Киев 2016 Первый в Украине фестиваль тестирования Как провести тестирование на безопасность Web application Святослав Логин
  2. 2. Киев 2016<Как тестировать фичи прямо на продакшене с помощью Release-train и Feature flags> О себе: - Святослав Логин - QA --} Automation QA --} QA Lead в Evo.company - 4 года в тестировании - 6 проектов
  3. 3. Киев 2016<Как тестировать фичи прямо на продакшене с помощью Release-train и Feature flags>
  4. 4. Киев 2016<Как тестировать фичи прямо на продакшене с помощью Release-train и Feature flags> В evo.company входят такие проекты:
  5. 5. Киев 2016 Сегодня в программе: - XSS -> OWASP ZAP - Дамп базы данных -> SQLmap - Сниффинг -> WireShark - Подбор данных (Brute force) -> Hydra
  6. 6. Киев 2016 Пример XSS
  7. 7. Киев 2016 Классификация XSS - Отраженные (Непостоянные) - Хранимые (Постоянные) - DOM-модели
  8. 8. Киев 2016 Отраженные XSS bank.ua?month=<script><src="http://memesmix.net/medi a/created/t3aynb.jpg"></script> bank.ua SEO менеджер Пользователь Добрый день! Ваша заработная плата находится по ссылке
  9. 9. Киев 2016 Хранимые XSS bank.ua Внедряет вредоносный скрипт SEO менеджер Пользователь Открывает страницу <img src="http://inexist.ent" onerror="javascript:alert(1)"/>
  10. 10. Киев 2016 DOM-модели
  11. 11. Киев 2016 Поиск XSS -> OWASP ZAP OWASP ZAP- это инструмент для тестирования на проникновения и нахождения уязвимостей в веб- приложениях.
  12. 12. Киев 2016 - Перехват прокси - Автоматизированный сканер - Fuzzing - Поддержка аутентификаций и сессий - Мощный API на основе REST - Поддержка большого количества скриптовых языков - Активно развивается международной командой добровольцев Каковы плюсы OWASP ZAP
  13. 13. Киев 2016 Работа с OWASP ZAP
  14. 14. Киев 2016 Сортировка ошибок OWASP ZAP XSS CSRF и тд Ну такое
  15. 15. Киев 2016 Режимы атак
  16. 16. Киев 2016 Видосик
  17. 17. Киев 2016 SQL injection
  18. 18. Киев 2016 Пример SQL injection
  19. 19. Киев 2016 Поиск SQL injection -> SQLmap SQLmap- это инструмент с открытым исходным кодом для тестирования на проникновение, который автоматизирует процесс выявления и эксплуатирования уязвимостей SQL- инъекций и захват серверов баз данных.
  20. 20. Киев 2016 Работа с SQLmap -u для указания URL --random-agen для снижения подозрительной активности -tor для использования защищенного канала --dbs смотрим какие базы доступны --table смотрим таблицу --columns смотрим колонки --dump скачиваем путь к базе
  21. 21. Киев 2016 Запуск SQLmap $ python sqlmap.py -u "http://site.ua?id=34" --random-agent - tor --dbs
  22. 22. Киев 2016 Видос
  23. 23. Киев 2016 Дополнительно - level = (1 - 5) - risk = (1 - 3)
  24. 24. Киев 2016 Как защитится 1. Не помещать в БД данные без обработки. 2. Не помещать в запрос управляющие структуры и идентификаторы, введенные пользователем. 3. Добавить капчу https://haveibeenpwned.com/
  25. 25. Киев 2016 Сниффинг Клиент Сервер Хацкер Первичное соединение перехват
  26. 26. Киев 2016 Сниффинг -> Wireshark Сниффинг - Wireshark используется сетевыми специалистами по всему миру для решения проблем, анализа, разработки программного обеспечения и протоколов, а также в образовании.
  27. 27. Киев 2016 Что может WireShark - Перехватывает введенные данные в сети
  28. 28. Киев 2016 Работа с WireShark
  29. 29. Киев 2016 Работа с WireShark
  30. 30. Киев 2016 Работа с WireShark
  31. 31. Киев 2016 Работа с WireShark
  32. 32. Киев 2016 ВидосикВидосик
  33. 33. Киев 2016 Как защитится? 1. Не позволяйте посторонним лицам иметь доступ в вашу сеть. 2. Когда вы сами пользуетесь публичными точками доступа, то, хотя бы, помните об угрозе перехвата пароля. 3. Используйте VPN, эта технология способна решить все проблемы с небезопасными сетями 4. Самый действенный способ — SSL-сертификаты.
  34. 34. Киев 2016 Brute force email or username Password
  35. 35. Киев 2016 Brute force -> Hydra Hydra - Утилита для подбора аутентификационных данных методом грубой силы (brute force).
  36. 36. Киев 2016 Работа с Hydra s - ПОРТ l - ЛОГИН p - ПАРОЛЬ x - Генерация паролей для брутфорса, наберите "-x -h" для помощи o - ФАЙЛ f - Выйти, когда пара логин/пароль подобрана t - ЗАДАЧИ w - ВРЕМЯ
  37. 37. Киев 2016 Выпустить Крякена!!! $ hydra -l LoginSvyat -p 12345678 -s 80 site.ua http-post-form "/:login_name=^USER^&login_password=^PASS^:Please login" -t 5 -w 30 -f
  38. 38. Киев 2016 Видосик
  39. 39. Киев 2016 Как защитится 1. Добавить капчу 2. Добавить двухэтапную аутентификацию 3. Ввести лимиты на поступление запросов с одного IP
  40. 40. Киев 2016 Спасибо за внимание! Вопросы?

×