SlideShare a Scribd company logo
1 of 20
Автоматическое тестирование
безопасности


ZAP и
Selenium
                          Шапин Антон
                             @kirlionik
Немного мании величия
Шапин Антон
  •  Руководитель отдела
     тестирования am.ru
  •  В IT более семи лет.
  •  Занимаюсь различными
     видами тестирования(от
     ручного до
     автоматизированного)
Site: http://qaengineer.ru
E-mail: shapin.anton@gmail.com
Чего НЕ будет в докладе
•   Раскрытие "чёрной магии" взлома сайтов
•   Сравнения инструментов по тестированию
    безопасности
О чём пойдет речь
•   Что такое ZAP с демонстрацией
•   Интеграция ZAP и Selenium Web Driver
•   Внедрение автоматического тестирования
    безопасности в существующую систему
    автотестов
Предупреждение
•   Я не специалист по security тестированию
•   Я за качество продукта!
Начнём!
Zed Attack Proxy (ZAP)

•   Простой инструмент для проведения pentest'а
    web-порталов

•   Полностью бесплатное c открытым исходным
    кодом

•   Идеально для внедрения в систему
    автоматического тестирования безопасности

•   Идеальный инструмент для новичков,
    который используют и профессионалы
На что способен ZAP

•   Intercepting Proxy
•   Automated scanner
•   Passive scanner
•   Brute Force scanner
•   Spider
На что способен ZAP

•   Fuzzer
•   Smartcard and Client Digital Certificates
    support
•   Port scanner
•   Dynamic SSL certificates
•   API
•   Beanshell integration
Ручное использование ZAP

                   Web browser



 QA Expert




             ZAP                    Web
                                 Application
Ручное использование
Зачем нам Selenium?
•   Автоматические Security Regress Tests
•   Не обязательны глубокие знания "Чёрной
    магии"
•   Интеграция тестирования безопасности с
    continuous integration
•   Возможность проверки только
    необходимых модулей, а не всей системы
Build Tool + Selenium + ZAP = Profit!
                                Web browser




  Build tool       Web Driver




        Web                        ZAP
     Application
Build Tool + Selenium + ZAP
Плюсы использования

•   Позволяет быстро убрать с
    портала грубые ошибки
    безопасности (на халяву!)
•   Контроль качества
    безопасности кода при
    каждом билде
Плюсы использования
•   Проверка только отдельных модулей на
    уязвимости, а не всего портала
•   Легкая интеграция с уже имеющейся
    системой автотестов
•   Кросс-платформенность
Предостережения
•   ZAP не даёт гарантии, что
    ваш портал не взломают

•   ZAP написан на Java, как
    следствие любит кушать
    (иногда жрать) память
Полезные ссылки
•   Домашняя страница ZAP
      https://www.owasp.org/index.php/ZAP


•   Downloads, wiki, source code
    http://code.google.com/p/zaproxy/downloads/list


•   ZAP announcements
    @zaproxy
Спасибо за внимание!

More Related Content

What's hot

Анализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестированияАнализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестированияSQALab
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместеDmitry Evteev
 
SQADAYS 21 Москва 2017
SQADAYS 21 Москва 2017SQADAYS 21 Москва 2017
SQADAYS 21 Москва 2017Adam Sandman
 
Использование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложенийИспользование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложенийSQALab
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеровDmitry Evteev
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложенийSQALab
 
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...SQALab
 
About Testers
About TestersAbout Testers
About Testersantsh
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Svyatoslav Login
Svyatoslav LoginSvyatoslav Login
Svyatoslav LoginDakiry
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Complianceqqlan
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеbeched
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest
 
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...SQALab
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Внедрение автоматизации тестирования на Сервисной Шине
Внедрение автоматизации тестирования на Сервисной ШинеВнедрение автоматизации тестирования на Сервисной Шине
Внедрение автоматизации тестирования на Сервисной ШинеSQALab
 
Провокации автоматического тестирования
Провокации автоматического тестированияПровокации автоматического тестирования
Провокации автоматического тестированияIgor Lyubin
 
Сергей Белов
Сергей БеловСергей Белов
Сергей БеловCodeFest
 

What's hot (20)

Анализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестированияАнализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестирования
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместе
 
SQADAYS 21 Москва 2017
SQADAYS 21 Москва 2017SQADAYS 21 Москва 2017
SQADAYS 21 Москва 2017
 
Использование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложенийИспользование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложений
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеров
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
 
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
 
About Testers
About TestersAbout Testers
About Testers
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Svyatoslav Login
Svyatoslav LoginSvyatoslav Login
Svyatoslav Login
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Compliance
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
 
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
 
Внедрение автоматизации тестирования на Сервисной Шине
Внедрение автоматизации тестирования на Сервисной ШинеВнедрение автоматизации тестирования на Сервисной Шине
Внедрение автоматизации тестирования на Сервисной Шине
 
Провокации автоматического тестирования
Провокации автоматического тестированияПровокации автоматического тестирования
Провокации автоматического тестирования
 
Сергей Белов
Сергей БеловСергей Белов
Сергей Белов
 

Similar to Security zap and selenium

В топку Postman - пишем API автотесты в привычном стеке
В топку Postman - пишем API автотесты в привычном стекеВ топку Postman - пишем API автотесты в привычном стеке
В топку Postman - пишем API автотесты в привычном стекеCOMAQA.BY
 
The fast and the continuous (SeleniumCamp 2014)
The fast and the continuous (SeleniumCamp 2014)The fast and the continuous (SeleniumCamp 2014)
The fast and the continuous (SeleniumCamp 2014)Andrei Solntsev
 
Автоматизация тестирования: отбрасываем лишнее и проверяем суть
Автоматизация тестирования: отбрасываем лишнее и проверяем сутьАвтоматизация тестирования: отбрасываем лишнее и проверяем суть
Автоматизация тестирования: отбрасываем лишнее и проверяем сутьSQALab
 
Winium — это как Selenium, только под Windows
Winium — это как Selenium, только под WindowsWinium — это как Selenium, только под Windows
Winium — это как Selenium, только под WindowsSQALab
 
«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС
«Winium — это как Selenium, только под Windows»  – Глеб Головин, 2ГИС«Winium — это как Selenium, только под Windows»  – Глеб Головин, 2ГИС
«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС2ГИС Технологии
 
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNG
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNGДмитрий Лукьяненко: Первый фреймворк на Selenium + TestNG
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNGDataArt
 
The fast and the continuous
The fast and the continuousThe fast and the continuous
The fast and the continuousSQALab
 
The fast and the continuous - SQA Days 16
The fast and the continuous - SQA Days 16The fast and the continuous - SQA Days 16
The fast and the continuous - SQA Days 16Andrei Solntsev
 
Automation Overview
Automation OverviewAutomation Overview
Automation OverviewKiraKeiss
 
Appium + selenide comaqa.by. Антон Семенченко
Appium + selenide comaqa.by. Антон СеменченкоAppium + selenide comaqa.by. Антон Семенченко
Appium + selenide comaqa.by. Антон СеменченкоAlina Dolgikh
 
selenium stack in python
selenium stack in pythonselenium stack in python
selenium stack in pythonCOMAQA.BY
 
Экономически эффективный процесс тестирования
Экономически эффективный процесс тестированияЭкономически эффективный процесс тестирования
Экономически эффективный процесс тестированияCodeFest
 
Андрей Стахиевич - Appium Mobile Automation Tool
Андрей Стахиевич - Appium Mobile Automation ToolАндрей Стахиевич - Appium Mobile Automation Tool
Андрей Стахиевич - Appium Mobile Automation ToolQA Club Minsk
 
Экономически эффективный процесс тестирования (Codefest 2015)
Экономически эффективный процесс тестирования (Codefest 2015)Экономически эффективный процесс тестирования (Codefest 2015)
Экономически эффективный процесс тестирования (Codefest 2015)Andrei Solntsev
 
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”Олександр Хотемський “Обзор архитектуры Selenium WebDriver”
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”Dakiry
 
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытания
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытанияCodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытания
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытанияCodeFest
 
Вирусное тестирование. Что-то новое в конфигурационном тестировании
Вирусное тестирование. Что-то новое в конфигурационном тестированииВирусное тестирование. Что-то новое в конфигурационном тестировании
Вирусное тестирование. Что-то новое в конфигурационном тестированииSQALab
 
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...Ontico
 
Развитие процессов тестирования в Badoo за три года
Развитие процессов тестирования в Badoo за три годаРазвитие процессов тестирования в Badoo за три года
Развитие процессов тестирования в Badoo за три годаSQALab
 

Similar to Security zap and selenium (20)

В топку Postman - пишем API автотесты в привычном стеке
В топку Postman - пишем API автотесты в привычном стекеВ топку Postman - пишем API автотесты в привычном стеке
В топку Postman - пишем API автотесты в привычном стеке
 
NPAPI
NPAPINPAPI
NPAPI
 
The fast and the continuous (SeleniumCamp 2014)
The fast and the continuous (SeleniumCamp 2014)The fast and the continuous (SeleniumCamp 2014)
The fast and the continuous (SeleniumCamp 2014)
 
Автоматизация тестирования: отбрасываем лишнее и проверяем суть
Автоматизация тестирования: отбрасываем лишнее и проверяем сутьАвтоматизация тестирования: отбрасываем лишнее и проверяем суть
Автоматизация тестирования: отбрасываем лишнее и проверяем суть
 
Winium — это как Selenium, только под Windows
Winium — это как Selenium, только под WindowsWinium — это как Selenium, только под Windows
Winium — это как Selenium, только под Windows
 
«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС
«Winium — это как Selenium, только под Windows»  – Глеб Головин, 2ГИС«Winium — это как Selenium, только под Windows»  – Глеб Головин, 2ГИС
«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС
 
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNG
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNGДмитрий Лукьяненко: Первый фреймворк на Selenium + TestNG
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNG
 
The fast and the continuous
The fast and the continuousThe fast and the continuous
The fast and the continuous
 
The fast and the continuous - SQA Days 16
The fast and the continuous - SQA Days 16The fast and the continuous - SQA Days 16
The fast and the continuous - SQA Days 16
 
Automation Overview
Automation OverviewAutomation Overview
Automation Overview
 
Appium + selenide comaqa.by. Антон Семенченко
Appium + selenide comaqa.by. Антон СеменченкоAppium + selenide comaqa.by. Антон Семенченко
Appium + selenide comaqa.by. Антон Семенченко
 
selenium stack in python
selenium stack in pythonselenium stack in python
selenium stack in python
 
Экономически эффективный процесс тестирования
Экономически эффективный процесс тестированияЭкономически эффективный процесс тестирования
Экономически эффективный процесс тестирования
 
Андрей Стахиевич - Appium Mobile Automation Tool
Андрей Стахиевич - Appium Mobile Automation ToolАндрей Стахиевич - Appium Mobile Automation Tool
Андрей Стахиевич - Appium Mobile Automation Tool
 
Экономически эффективный процесс тестирования (Codefest 2015)
Экономически эффективный процесс тестирования (Codefest 2015)Экономически эффективный процесс тестирования (Codefest 2015)
Экономически эффективный процесс тестирования (Codefest 2015)
 
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”Олександр Хотемський “Обзор архитектуры Selenium WebDriver”
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”
 
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытания
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытанияCodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытания
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытания
 
Вирусное тестирование. Что-то новое в конфигурационном тестировании
Вирусное тестирование. Что-то новое в конфигурационном тестированииВирусное тестирование. Что-то новое в конфигурационном тестировании
Вирусное тестирование. Что-то новое в конфигурационном тестировании
 
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...
 
Развитие процессов тестирования в Badoo за три года
Развитие процессов тестирования в Badoo за три годаРазвитие процессов тестирования в Badoo за три года
Развитие процессов тестирования в Badoo за три года
 

Security zap and selenium

  • 2. Немного мании величия Шапин Антон • Руководитель отдела тестирования am.ru • В IT более семи лет. • Занимаюсь различными видами тестирования(от ручного до автоматизированного) Site: http://qaengineer.ru E-mail: shapin.anton@gmail.com
  • 3. Чего НЕ будет в докладе • Раскрытие "чёрной магии" взлома сайтов • Сравнения инструментов по тестированию безопасности
  • 4. О чём пойдет речь • Что такое ZAP с демонстрацией • Интеграция ZAP и Selenium Web Driver • Внедрение автоматического тестирования безопасности в существующую систему автотестов
  • 5. Предупреждение • Я не специалист по security тестированию • Я за качество продукта!
  • 7.
  • 8. Zed Attack Proxy (ZAP) • Простой инструмент для проведения pentest'а web-порталов • Полностью бесплатное c открытым исходным кодом • Идеально для внедрения в систему автоматического тестирования безопасности • Идеальный инструмент для новичков, который используют и профессионалы
  • 9. На что способен ZAP • Intercepting Proxy • Automated scanner • Passive scanner • Brute Force scanner • Spider
  • 10. На что способен ZAP • Fuzzer • Smartcard and Client Digital Certificates support • Port scanner • Dynamic SSL certificates • API • Beanshell integration
  • 11. Ручное использование ZAP Web browser QA Expert ZAP Web Application
  • 13. Зачем нам Selenium? • Автоматические Security Regress Tests • Не обязательны глубокие знания "Чёрной магии" • Интеграция тестирования безопасности с continuous integration • Возможность проверки только необходимых модулей, а не всей системы
  • 14. Build Tool + Selenium + ZAP = Profit! Web browser Build tool Web Driver Web ZAP Application
  • 15. Build Tool + Selenium + ZAP
  • 16. Плюсы использования • Позволяет быстро убрать с портала грубые ошибки безопасности (на халяву!) • Контроль качества безопасности кода при каждом билде
  • 17. Плюсы использования • Проверка только отдельных модулей на уязвимости, а не всего портала • Легкая интеграция с уже имеющейся системой автотестов • Кросс-платформенность
  • 18. Предостережения • ZAP не даёт гарантии, что ваш портал не взломают • ZAP написан на Java, как следствие любит кушать (иногда жрать) память
  • 19. Полезные ссылки • Домашняя страница ZAP https://www.owasp.org/index.php/ZAP • Downloads, wiki, source code http://code.google.com/p/zaproxy/downloads/list • ZAP announcements @zaproxy

Editor's Notes

  1. 1. Есть ли люди, которые специализируются на тестировании безопасности? 2. Есть ли тут люди, которым это интересно, но не хватает знаний для этого? 3. Есть ли разработчики веб приложений? Насколько вы уверены в безопасности своего кода?
  2. Занимаюсь нарузочным, функциональным тестированием. am.ru — Одна из крупнейших баз объявлений по продаже автомобилей России, которая обновляется и дополняется ежедневно. Более двадцати тысяч новых предложений каждый день, один проданный автомобиль каждые три минуты
  3. Для многих людей взлом веб порталов ассоциируется с черной магией. Существует масса инструментов для проведения тестирования по безопасности. Есть платные монстры, бесплатные. Есть просто руки. В докладе я не буду приводить сравнения этих инструментов.
  4. Я покажу, что такое инструмент ZAP, как с его помощью можно будет найти уязвимости. Ну и самое главное, как его можно интегрировать с уже существующей базой автоматических тестов без глобальных изменений.
  5. Вот так выглядят люди, которые уверены, что их приложение легко взломать не получится, и при этом не проводят периодические при
  6. История с использованием ZAP в нашей фирме началась с момента появления необходимости проводить тестирование на безопасность. Основные требования к системе: 1. Система должна быть автоматической. 2. Легко внедряемая в систему существующую систему тестирования. 3. Желательно бесплатна.
  7. Fuzz тестирование или Fuzzing это black box тестирование программного обеспечения техникой, которая в основном состоит в нахождении ошибки реализации передачи не правильных или полу правильных данных в параметрах веб приложения.