Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Тестирование безопасности веб-
сервисов на примере WCF-
сервисов
Ultra Light
О чем речь
• Основные понятия о тестировании
безопасности
• Особенности поиска уязвимостей в
web сервисах (на примере wcf
...
Как это все у
«взрослых»
• Сертификации ПО
– Для работы с платежами пластиковыми картами (PCI)
– Для работы с правительств...
Кому?
• Публичный сервис
• Есть данные пользователей
• On Demand – люди покупают
подписки. Если они считают, что
есть опас...
Зачем?
• Чтобы ограничить свободу действий
потенциальным злодеям
• Пусть выберут не вас
• Это интересно и полезно знать
5 ...
С чего можно начать
• Injections (A1)
• XSS (A3)
• Insecure Direct Object References (A4)
6 /18
Was ist das?
• OWASP – некоммерческое объединение, накапливающее знания
по тестированию безопасности.
• (A1) Injections – ...
Веб сервисы
• Не имеют красивого пользовательского
интерфейса в привычном виде
• Предоставляют доступ к функционалу
прилож...
Что с ними не так?
• SQL Injections через параметры методов
– Метод с кучей параметров принимающий еще и sortField –
напра...
SQL Injection
10 /18
11 /18
Где еще посмотреть
• Уровень детализации ошибок в сервисах:
<behaviors>
<serviceBehaviors>
<behavior name="Default">
<serv...
13 /18
Jquery-плюшки для
желающих
• Можно использовать, чтобы прикрепить в
багу и не тратить время на воспроизведение.
• Что для ...
Пример
• Послать/принять нужный запрос:
15 /18
Fin
• Не стоит полагать, будто это что-то гарантирует.
При желании, всегда найдутся умельцы покруче.
• Главное – знать мер...
Инструменты:
• Acunetix – платный, крутой
• Burp Suite - дешевле, крутой
• QualysGuard – он-лайн сканер, не достанет за VP...
Ссылки:
• OWASP Top10 security risks, 2013(PDF):
http://owasptop10.googlecode.com/files/OWASP%20To
p%2010%20-%202013.pdf
•...
Смирнов Павел
DataArt
Skype: paul.n.smirnoff
Google: paul.n.smirnoff
Upcoming SlideShare
Loading in …5
×

Тестирование безопасности веб-сервисов на примере WCF-сервисов

2,920 views

Published on

Доклад Павла Смирнова на SQA Days-15. 18-19 апреля, 2014, Москва.
www.sqadays.com

Published in: Education
  • Be the first to comment

  • Be the first to like this

Тестирование безопасности веб-сервисов на примере WCF-сервисов

  1. 1. Тестирование безопасности веб- сервисов на примере WCF- сервисов Ultra Light
  2. 2. О чем речь • Основные понятия о тестировании безопасности • Особенности поиска уязвимостей в web сервисах (на примере wcf сервисов) 2 /18
  3. 3. Как это все у «взрослых» • Сертификации ПО – Для работы с платежами пластиковыми картами (PCI) – Для работы с правительственными структурами • Сертификации профессионалов – CSTA – ISTQB Security Testing Expert Level (ожидается к 2015) • Наборы инструментов • Отдельный недешевый сервис 3 /18
  4. 4. Кому? • Публичный сервис • Есть данные пользователей • On Demand – люди покупают подписки. Если они считают, что есть опасность - они перестают это делать. 4 /18
  5. 5. Зачем? • Чтобы ограничить свободу действий потенциальным злодеям • Пусть выберут не вас • Это интересно и полезно знать 5 /18
  6. 6. С чего можно начать • Injections (A1) • XSS (A3) • Insecure Direct Object References (A4) 6 /18
  7. 7. Was ist das? • OWASP – некоммерческое объединение, накапливающее знания по тестированию безопасности. • (A1) Injections – внедрение кода, который выполнится доверчивым интерпретатором. • (A2) Access Control пропущен, т.к. это проблема не уровня сервиса, а выше. • (A3) XSS – «отложенная инъекция». Срабатывает в браузере в момент обращения к ресурсу интерпретатором. (Не путать с Cross Site Request Forgery, A8) • (A4) Insecure Direct Object References – лишняя информация в предупреждениях и эксепшенах позволяющая злоумышленнику получить информацию для усовершенствования атаки. 7 /18
  8. 8. Веб сервисы • Не имеют красивого пользовательского интерфейса в привычном виде • Предоставляют доступ к функционалу приложения для сторонних разработчиков • В случае WCF – широко используются и внутри приложения – часть работы за программиста делает фреймворк 8 /18
  9. 9. Что с ними не так? • SQL Injections через параметры методов – Метод с кучей параметров принимающий еще и sortField – направляет его напрямую в базу. • XSS – можно передать другому пользователю системы «отравленный» объект. – Сообщение об ошибке может отображать (выполнять) вредоносный код • Слишком информативные эксепшены и предупреждения • Все это может быть доступно по разным протоколам 9 /18
  10. 10. SQL Injection 10 /18
  11. 11. 11 /18
  12. 12. Где еще посмотреть • Уровень детализации ошибок в сервисах: <behaviors> <serviceBehaviors> <behavior name="Default"> <serviceDebug includeExceptionDetailInFaults="false"/> </behavior> </serviceBehaviors> </behaviors> • Запрет встраивания страниц приложения в iframe. <system.webServer> <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> </system.webServer> 12 /18
  13. 13. 13 /18
  14. 14. Jquery-плюшки для желающих • Можно использовать, чтобы прикрепить в багу и не тратить время на воспроизведение. • Что для этого достаточно знать: – Как встраивать скрипт в HTML – Общее представление о посылке http запросов – Основы гуглинга 14 /18
  15. 15. Пример • Послать/принять нужный запрос: 15 /18
  16. 16. Fin • Не стоит полагать, будто это что-то гарантирует. При желании, всегда найдутся умельцы покруче. • Главное – знать меру. Не надо зарываться и тратить уйму времени. • Помните – самолечение опасно, доверьтесь профессионалам. Если серьезные данные, то такое тестирование не подходит. • Однако, это полезно знать тестировщику. 16 /18
  17. 17. Инструменты: • Acunetix – платный, крутой • Burp Suite - дешевле, крутой • QualysGuard – он-лайн сканер, не достанет за VPN • Firebug • Снифер (Fiddler, Wireshark и т.д.) • Jquery – бесплатно, крутой  • WSDLMerge – склейка всех зависимостей wsdl файла в единый wsdl 17 /18
  18. 18. Ссылки: • OWASP Top10 security risks, 2013(PDF): http://owasptop10.googlecode.com/files/OWASP%20To p%2010%20-%202013.pdf • MSDN, How To: Prevent Cross-Site Scripting in ASP.NET - http://msdn.microsoft.com/en-us/library/ff649310.aspx • WCF Security Guide (2008) - http://wcfsecurity.codeplex.com/ • WSDLMerge: – bin: http://code.google.com/p/wsdlmerge/downloads/list – Help: http://code.google.com/p/wsdlmerge/wiki/Usage Последний /18
  19. 19. Смирнов Павел DataArt Skype: paul.n.smirnoff Google: paul.n.smirnoff

×