Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
Search the Top Dental Clinic in East Dulwich
Next

0

Share

Automatizando a análise passiva de aplicações Web

Apresentação realizada no OWASP AppSec Latam em Porto Alegre - Brazil

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Automatizando a análise passiva de aplicações Web

  1. 1. Automatizando a análise passiva de aplicações Web Wagner Elias, CTO Conviso Application SecurityOWASPAppSec Latam Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  2. 2. Por que automatizar? Nivelar Conhecimento da equipe de testes Garantir o mínimo de cobertura em testes manuais OWASP
  3. 3. Análise Passiva O Testador irá navegar na aplicação, entender o contexto das requisições Quando realizado por um profissional com expertise em testes é mais efetiva que uma análise ativa OWASP
  4. 4. Desafios Uma aplicação gera um número grande de requisições o que torna o processo lento e custoso A qualidade da análise depende completamente do skill do testador OWASP
  5. 5. Muitos Mbs de dados NOT OWASP
  6. 6. Proposta Automatizar parte do processo de análise através do parser de log do proxy Extrair informações que o testador deve analisar, aumentando a cobertura da análise OWASP
  7. 7. WebFight Realiza o parser do log do Burp Análisa todo o cabeçalho HTTP e conteúdo das respostas extraindo informações para análise http://code.google.com/p/webfight/ OWASP
  8. 8. Fluxo da Análise Carrega os Log do Parser do Triagem das Módulos de Burp Log Requisições Análise Módulos de Análise Gera o relatório JS DOM Flash Session na interface de análise Finger cache JSON Etc… print OWASP
  9. 9. Command Line Rules Log do Burp Escopo Workspace OWASP
  10. 10. Principais Análises Apresenta todas as requests que precisam passar por testes fuzzing Filtro em funções potencialmente vulneráveis em JS Identifica, realiza o download, decompila e apresenta o AS de arquivos SWF filtrando funções potencialmente vulneráveis Filtro de objetos DOM Possibilidade de criação customizada de filtros que ajudam a análise através do relatório OWASP
  11. 11. Interface de Análise OWASP
  12. 12. Talk is cheap show me the codeDEMO OWASP
  13. 13. Breve no repositório de código Módulo de Taint Analysis Módulo de análise de configuração e implementação de SSL/TLS Melhorias na interface de análise OWASP
  14. 14. Perguntas? OWASP
  15. 15. ObrigadoWagner Elias, CTOConviso Application Security OWASP

Apresentação realizada no OWASP AppSec Latam em Porto Alegre - Brazil

Views

Total views

644

On Slideshare

0

From embeds

0

Number of embeds

8

Actions

Downloads

0

Shares

0

Comments

0

Likes

0

×