SlideShare a Scribd company logo
1 of 13
Download to read offline
Обнаружение уязвимостей
в механизме авторизации
веб-приложений


               Андрей Петухов, Георгий Носеевич
        Лаборатория вычислительных комплексов
     Факультет ВМиК МГУ имени М. В. Ломоносова
Мотивация
По данным статистики WASC за 2008 год:
• Insufficient authorization:
  – В автоматическом режиме найдена в 0.13% сайтов
  – В ручном режиме найдена в 14.82% сайтов
  – Разница – в 100 раз!
• XSS
  – В автоматическом режиме найдена в 37.66% сайтов
  – В ручном режиме найдена в 56.41% сайтов
• SQLI
  – В автоматическом режиме найдена в 11.65% сайтов
  – В ручном режиме найдена в 16.16% сайтов
• Коррелирует со статистикой WhiteHat
                                                      2
В чем же трудность?

• Механизм авторизации выполняет задачу по защите
  данных и/или функциональности веб-приложения от
  несанкционированного доступа
• В идеале:
  –   понятие несанкционированного доступа определяется явно
  –   описывается в политике разграничения доступа
  –   входит в состав исходных требований к веб-приложению
  –   понятно, как формализовать уязвимость механизма авторизации
• В реальности:
  – политика разграничения доступа отсутствует
  – механизм авторизации реализуется на основе здравого смысла
  – как формализовать уязвимость механизма авторизации - вопрос
                                                                    3
Рабочее предположение

• Веб-интерфейс является неявным источником
  информации о правилах разграничения доступа
• Уязвимостью контроля доступа считается ситуация,
  когда пользователь может успешно произвести HTTP-
  запрос, не предусмотренный интерфейсом веб-
  приложения
• Аргументы в пользу адекватности предположения:
  – корректность пользовательского интерфейса проверяется на
    этапе функционального тестирования и этапе сдачи-приемки
  – можно ожидать, что все ссылки/формы, которые «не должны
    быть» в интерфейсе того или иного пользователя, будут
    убраны
                                                               4
Пример уязвимости

• Приложение банк-клиент
• Имеет страницу «детализация транзакций по счету»
• В пользовательском интерфейсе переход на
  страницу реализован через ссылки вида:
  /TransactionDetails.aspx?account_no=5204320422040001
• Подменив значение параметра account_no, получаем
  информацию по счетам других пользователей.
  Налицо горизонтальная эскалация привилегий
• Заметим, что пример удовлетворяет определению,
  данному ранее: пользователи могут сделать HTTP-
  запросы, не предусмотренные их интерфейсом
                                                         5
Существующий метод

Единственный известный метод для проверки
механизма авторизации без политики разграничения
доступа – «differential analysis»
• Пусть даны два пользователя: user1 и user2
• Построим «карту ссылок» веб-приложения, видимых
  пользователю user1 – Sitemap1, и карту ссылок, видимых
  пользователю user2 – Sitemap2
• Проверим возможность доступа:
  - к ресурсам Sitemap1Sitemap2 от имени пользователя user2
  - к ресурсам Sitemap2Sitemap1 от имени пользователя user1
• Если доступ успешен, то сообщаем о наличии уязвимости:
  - горизонтальная эскалация привилегий, если роли одинаковые
  - вертикальная эскалация привилегий, если роли разные
                                                                6
Ограничение существующего
               метода
• «Карта ссылок» – динамическая сущность, которая
  зависит от состояния веб-приложения, Sitemap(state)
• В сложных приложениях не существует такого состояния
  state, что из интерфейса Sitemap(state) можно было бы
  выполнить любой сценарий использования
• Для обеспечения полноты анализа необходимо:
   – найти последовательность состояний {statei} и переходов между
     ними такую, что для любого сценария использования найдется
     интерфейс Sitemap(statej), из которого он может быть запущен
   – уметь строить карту ссылок для каждого состояния приложения
• После применения «differential analysis» для каждого
  состояния {statei} анализ будет полным
                                                                     7
Предлагаемый метод (1 из 2)

• Найти последовательность состояний {statei} и
  переходов между ними такую, что для любого сценария
  использования найдется интерфейс Sitemap(statej), из
  которого он может быть запущен
• Идея решения:
  – построить граф зависимостей между сценариями
    использования
  – линеаризовать граф в последовательность состояний и
    переходов между ними
  – интерфейсные элементы, реализующие переходы между
    состояниями, должны использоваться только после построения
    карты ссылок в текущем состоянии

                                                                 8
Предлагаемый метод (2 из 2)

• Построить карту ссылок для заданного состояния
  приложения
• Как автоматически определять во время crawling’а,
  какие интерфейсные элементы изменяют состояние
  веб-приложения, а какие – нет?
  – Статический анализ
  – Ручная разметка
• Мы выбрали ручную разметку




                                                      9
Автоматизация метода

• Подготовка разметки
   – Оператор осуществляет навигацию по веб-приложению при
     помощи браузера FF с установленным расширением
   – Оператор помечает: ссылки и формы, которые изменяют
     состояние веб-приложения, формы аутентификации, ссылки
     logout, формы с анти-автоматизацией (CAPTCHA)
   – Оператор может разбить работу с приложением на сценарии
     использования и указать зависимости между ними
• Проведение «differential analysis» с использованием
  полученной разметки
   – Web-crawler строит карту ссылок для текущего состояния
   – Анализатор использует полученную карту ссылок для
     проведения «differential analysis»
   – Осуществляется переход к очередному состоянию             10
Community

• PoC-реализация метода была сделана во время
  OWASP Summer of Code 2008
  – PoC-реализация доступна здесь:
    http://code.google.com/p/accorute/downloads/list
• Следующую версию инструмента планируется
  представить этим летом на конференции
  OWASP AppSec Research 2010 в Стокгольме
  – Обо всех новостях будет сообщаться в рассылке
    owasp-access-control-rules-tester-project@lists.owasp.org
  – На рассылку можно подписаться на странице проекта



                                                                11
Контактная информация

•   Андрей Петухов: petand@lvk.cs.msu.su
•   Георгий Носеевич: ngo@lvk.cs.msu.su
•   Тел. +7 (495) 939 46 71
•   Москва, 119899 Ленинские горы вл. 1/52,
    факультет ВМК МГУ имени М. В. Ломоносова, к. 764




                                                       12
Спасибо за внимание!




      Вопросы?




                       13

More Related Content

Similar to Обнаружение уязвимостей в механизме авторизации веб-приложении

Защищенная веб-аналитика для ОГВ и ОМСУ
Защищенная веб-аналитика для ОГВ и ОМСУЗащищенная веб-аналитика для ОГВ и ОМСУ
Защищенная веб-аналитика для ОГВ и ОМСУAndrew Fadeev
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...OWASP Russia
 
Автоматизированная система управления бюджетными средствами Федеральной служб...
Автоматизированная система управления бюджетными средствами Федеральной служб...Автоматизированная система управления бюджетными средствами Федеральной служб...
Автоматизированная система управления бюджетными средствами Федеральной служб...КРОК
 
C# Web. Занятие 01.
C# Web. Занятие 01.C# Web. Занятие 01.
C# Web. Занятие 01.Igor Shkulipa
 
презентация РАБИС технологии 2014
презентация РАБИС технологии 2014презентация РАБИС технологии 2014
презентация РАБИС технологии 2014Vyacheslav Benedichuk
 
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET»  O...ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET»  O...
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...WDDay
 
Как настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийКак настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийНетология
 
Svyatoslav Login "How to test authentication and authorization for security"
Svyatoslav Login "How to test authentication and authorization for security"Svyatoslav Login "How to test authentication and authorization for security"
Svyatoslav Login "How to test authentication and authorization for security"Fwdays
 
автоматизация тестирования веб приложений павел липский
автоматизация тестирования веб приложений   павел липскийавтоматизация тестирования веб приложений   павел липский
автоматизация тестирования веб приложений павел липскийMedia Gorod
 
Разработка мобильного и веб интерфейса для Caché
Разработка мобильного и веб интерфейса для CachéРазработка мобильного и веб интерфейса для Caché
Разработка мобильного и веб интерфейса для CachéInterSystems CEE
 
Trpo 3 создание_по2
Trpo 3 создание_по2Trpo 3 создание_по2
Trpo 3 создание_по2pogromskaya
 
Аналитика мобильных приложений
Аналитика мобильных приложенийАналитика мобильных приложений
Аналитика мобильных приложенийAnatoly Sharifulin
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Alexei Lupan
 
Чек-лист аудита сайтов государственных органов и подведомственных учреждений
Чек-лист аудита сайтов государственных органов и подведомственных учрежденийЧек-лист аудита сайтов государственных органов и подведомственных учреждений
Чек-лист аудита сайтов государственных органов и подведомственных учрежденийDPR
 
Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.Cisco Russia
 
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tipsКостянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tipsLEDC 2016
 
Hl2008 Spy Log Architechture 169
Hl2008 Spy Log Architechture 169Hl2008 Spy Log Architechture 169
Hl2008 Spy Log Architechture 169Media Gorod
 
Web and mobile development for intersystems caché, Eduard Lebedyuk
Web and mobile development for intersystems caché, Eduard LebedyukWeb and mobile development for intersystems caché, Eduard Lebedyuk
Web and mobile development for intersystems caché, Eduard LebedyukInterSystems
 

Similar to Обнаружение уязвимостей в механизме авторизации веб-приложении (20)

Защищенная веб-аналитика для ОГВ и ОМСУ
Защищенная веб-аналитика для ОГВ и ОМСУЗащищенная веб-аналитика для ОГВ и ОМСУ
Защищенная веб-аналитика для ОГВ и ОМСУ
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
 
Автоматизированная система управления бюджетными средствами Федеральной служб...
Автоматизированная система управления бюджетными средствами Федеральной служб...Автоматизированная система управления бюджетными средствами Федеральной служб...
Автоматизированная система управления бюджетными средствами Федеральной служб...
 
C# Web. Занятие 01.
C# Web. Занятие 01.C# Web. Занятие 01.
C# Web. Занятие 01.
 
презентация РАБИС технологии 2014
презентация РАБИС технологии 2014презентация РАБИС технологии 2014
презентация РАБИС технологии 2014
 
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET»  O...ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET»  O...
ВІТАЛІЙ ГОНЧАРУК «За допомогою чого пишуться серйозні веб додатки на .NET» O...
 
Как настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийКак настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложений
 
Svyatoslav Login "How to test authentication and authorization for security"
Svyatoslav Login "How to test authentication and authorization for security"Svyatoslav Login "How to test authentication and authorization for security"
Svyatoslav Login "How to test authentication and authorization for security"
 
автоматизация тестирования веб приложений павел липский
автоматизация тестирования веб приложений   павел липскийавтоматизация тестирования веб приложений   павел липский
автоматизация тестирования веб приложений павел липский
 
Разработка мобильного и веб интерфейса для Caché
Разработка мобильного и веб интерфейса для CachéРазработка мобильного и веб интерфейса для Caché
Разработка мобильного и веб интерфейса для Caché
 
Trpo 3 создание_по2
Trpo 3 создание_по2Trpo 3 создание_по2
Trpo 3 создание_по2
 
Аналитика мобильных приложений
Аналитика мобильных приложенийАналитика мобильных приложений
Аналитика мобильных приложений
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)
 
Чек-лист аудита сайтов государственных органов и подведомственных учреждений
Чек-лист аудита сайтов государственных органов и подведомственных учрежденийЧек-лист аудита сайтов государственных органов и подведомственных учреждений
Чек-лист аудита сайтов государственных органов и подведомственных учреждений
 
6бойченко
6бойченко6бойченко
6бойченко
 
Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.
 
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tipsКостянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tips
 
SCIPorgua, CompetitiveCamp-2010, ИАС-Семантический-архив
SCIPorgua, CompetitiveCamp-2010, ИАС-Семантический-архивSCIPorgua, CompetitiveCamp-2010, ИАС-Семантический-архив
SCIPorgua, CompetitiveCamp-2010, ИАС-Семантический-архив
 
Hl2008 Spy Log Architechture 169
Hl2008 Spy Log Architechture 169Hl2008 Spy Log Architechture 169
Hl2008 Spy Log Architechture 169
 
Web and mobile development for intersystems caché, Eduard Lebedyuk
Web and mobile development for intersystems caché, Eduard LebedyukWeb and mobile development for intersystems caché, Eduard Lebedyuk
Web and mobile development for intersystems caché, Eduard Lebedyuk
 

More from Andrew Petukhov

Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникацииАрмия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникацииAndrew Petukhov
 
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...Andrew Petukhov
 
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...Andrew Petukhov
 
No locked doors, no windows barred: hacking OpenAM infrastructure
No locked doors, no windows barred: hacking OpenAM infrastructureNo locked doors, no windows barred: hacking OpenAM infrastructure
No locked doors, no windows barred: hacking OpenAM infrastructureAndrew Petukhov
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахAndrew Petukhov
 
Detecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web ApplicationsDetecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web ApplicationsAndrew Petukhov
 
Benchmark сканеров SQL injection
Benchmark сканеров SQL injectionBenchmark сканеров SQL injection
Benchmark сканеров SQL injectionAndrew Petukhov
 
Access Control Rules Tester
Access Control Rules TesterAccess Control Rules Tester
Access Control Rules TesterAndrew Petukhov
 
Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...
Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...
Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...Andrew Petukhov
 

More from Andrew Petukhov (9)

Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникацииАрмия освобождения домохозяек: структура, состав вооружений, методы коммуникации
Армия освобождения домохозяек: структура, состав вооружений, методы коммуникации
 
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
You Can Be Anything You Want to Be: Breaking Through Certified Crypto in Bank...
 
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
Обнаружение уязвимостей логики приложений методом статического анализа. Где п...
 
No locked doors, no windows barred: hacking OpenAM infrastructure
No locked doors, no windows barred: hacking OpenAM infrastructureNo locked doors, no windows barred: hacking OpenAM infrastructure
No locked doors, no windows barred: hacking OpenAM infrastructure
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системах
 
Detecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web ApplicationsDetecting Insufficient Access Control in Web Applications
Detecting Insufficient Access Control in Web Applications
 
Benchmark сканеров SQL injection
Benchmark сканеров SQL injectionBenchmark сканеров SQL injection
Benchmark сканеров SQL injection
 
Access Control Rules Tester
Access Control Rules TesterAccess Control Rules Tester
Access Control Rules Tester
 
Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...
Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...
Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis...
 

Обнаружение уязвимостей в механизме авторизации веб-приложении

  • 1. Обнаружение уязвимостей в механизме авторизации веб-приложений Андрей Петухов, Георгий Носеевич Лаборатория вычислительных комплексов Факультет ВМиК МГУ имени М. В. Ломоносова
  • 2. Мотивация По данным статистики WASC за 2008 год: • Insufficient authorization: – В автоматическом режиме найдена в 0.13% сайтов – В ручном режиме найдена в 14.82% сайтов – Разница – в 100 раз! • XSS – В автоматическом режиме найдена в 37.66% сайтов – В ручном режиме найдена в 56.41% сайтов • SQLI – В автоматическом режиме найдена в 11.65% сайтов – В ручном режиме найдена в 16.16% сайтов • Коррелирует со статистикой WhiteHat 2
  • 3. В чем же трудность? • Механизм авторизации выполняет задачу по защите данных и/или функциональности веб-приложения от несанкционированного доступа • В идеале: – понятие несанкционированного доступа определяется явно – описывается в политике разграничения доступа – входит в состав исходных требований к веб-приложению – понятно, как формализовать уязвимость механизма авторизации • В реальности: – политика разграничения доступа отсутствует – механизм авторизации реализуется на основе здравого смысла – как формализовать уязвимость механизма авторизации - вопрос 3
  • 4. Рабочее предположение • Веб-интерфейс является неявным источником информации о правилах разграничения доступа • Уязвимостью контроля доступа считается ситуация, когда пользователь может успешно произвести HTTP- запрос, не предусмотренный интерфейсом веб- приложения • Аргументы в пользу адекватности предположения: – корректность пользовательского интерфейса проверяется на этапе функционального тестирования и этапе сдачи-приемки – можно ожидать, что все ссылки/формы, которые «не должны быть» в интерфейсе того или иного пользователя, будут убраны 4
  • 5. Пример уязвимости • Приложение банк-клиент • Имеет страницу «детализация транзакций по счету» • В пользовательском интерфейсе переход на страницу реализован через ссылки вида: /TransactionDetails.aspx?account_no=5204320422040001 • Подменив значение параметра account_no, получаем информацию по счетам других пользователей. Налицо горизонтальная эскалация привилегий • Заметим, что пример удовлетворяет определению, данному ранее: пользователи могут сделать HTTP- запросы, не предусмотренные их интерфейсом 5
  • 6. Существующий метод Единственный известный метод для проверки механизма авторизации без политики разграничения доступа – «differential analysis» • Пусть даны два пользователя: user1 и user2 • Построим «карту ссылок» веб-приложения, видимых пользователю user1 – Sitemap1, и карту ссылок, видимых пользователю user2 – Sitemap2 • Проверим возможность доступа: - к ресурсам Sitemap1Sitemap2 от имени пользователя user2 - к ресурсам Sitemap2Sitemap1 от имени пользователя user1 • Если доступ успешен, то сообщаем о наличии уязвимости: - горизонтальная эскалация привилегий, если роли одинаковые - вертикальная эскалация привилегий, если роли разные 6
  • 7. Ограничение существующего метода • «Карта ссылок» – динамическая сущность, которая зависит от состояния веб-приложения, Sitemap(state) • В сложных приложениях не существует такого состояния state, что из интерфейса Sitemap(state) можно было бы выполнить любой сценарий использования • Для обеспечения полноты анализа необходимо: – найти последовательность состояний {statei} и переходов между ними такую, что для любого сценария использования найдется интерфейс Sitemap(statej), из которого он может быть запущен – уметь строить карту ссылок для каждого состояния приложения • После применения «differential analysis» для каждого состояния {statei} анализ будет полным 7
  • 8. Предлагаемый метод (1 из 2) • Найти последовательность состояний {statei} и переходов между ними такую, что для любого сценария использования найдется интерфейс Sitemap(statej), из которого он может быть запущен • Идея решения: – построить граф зависимостей между сценариями использования – линеаризовать граф в последовательность состояний и переходов между ними – интерфейсные элементы, реализующие переходы между состояниями, должны использоваться только после построения карты ссылок в текущем состоянии 8
  • 9. Предлагаемый метод (2 из 2) • Построить карту ссылок для заданного состояния приложения • Как автоматически определять во время crawling’а, какие интерфейсные элементы изменяют состояние веб-приложения, а какие – нет? – Статический анализ – Ручная разметка • Мы выбрали ручную разметку 9
  • 10. Автоматизация метода • Подготовка разметки – Оператор осуществляет навигацию по веб-приложению при помощи браузера FF с установленным расширением – Оператор помечает: ссылки и формы, которые изменяют состояние веб-приложения, формы аутентификации, ссылки logout, формы с анти-автоматизацией (CAPTCHA) – Оператор может разбить работу с приложением на сценарии использования и указать зависимости между ними • Проведение «differential analysis» с использованием полученной разметки – Web-crawler строит карту ссылок для текущего состояния – Анализатор использует полученную карту ссылок для проведения «differential analysis» – Осуществляется переход к очередному состоянию 10
  • 11. Community • PoC-реализация метода была сделана во время OWASP Summer of Code 2008 – PoC-реализация доступна здесь: http://code.google.com/p/accorute/downloads/list • Следующую версию инструмента планируется представить этим летом на конференции OWASP AppSec Research 2010 в Стокгольме – Обо всех новостях будет сообщаться в рассылке owasp-access-control-rules-tester-project@lists.owasp.org – На рассылку можно подписаться на странице проекта 11
  • 12. Контактная информация • Андрей Петухов: petand@lvk.cs.msu.su • Георгий Носеевич: ngo@lvk.cs.msu.su • Тел. +7 (495) 939 46 71 • Москва, 119899 Ленинские горы вл. 1/52, факультет ВМК МГУ имени М. В. Ломоносова, к. 764 12