Successfully reported this slideshow.
Your SlideShare is downloading. ×

Security zap and selenium

Mar. 14, 2013
1 like 4,516 views
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
Loading in …3
×

Check these out next

Анализ инструментов автоматизации мобильного тестирования
SQALab
Penetration testing
Training center "Echelon"
Ломаем (и строим) вместе
Dmitry Evteev
SQADAYS 21 Москва 2017
Adam Sandman
Использование комбинаторного тестирования для мобильных приложений
SQALab
Собираем команду хакеров
Dmitry Evteev
Sergey Gordeychik SQADays 2008
guest5b66888
Оценка защищенности Web-приложений
SQALab
1 of 20 Ad

Security zap and selenium

Mar. 14, 2013
1 like 4,516 views

Download to read offline

Technology
Technology
Advertisement

Recommended

Опыт организации тестирования безопасности Web приложений в компании
SQALab
5k views
25 slides
Fuzzing - автоматическое тестирование безопасности
SQALab
2.7k views
20 slides
очир абушинов
Alexei Lupan
6.3k views
62 slides
Sqa days2010 polazhenko_osstm
Alexei Lupan
642 views
22 slides
Эвристические методы защиты приложений
Positive Hack Days
906 views
168 slides
Безопасность сессий в веб-приложениях: практическое применение
SQALab
6.4k views
45 slides
Анализ защищенности интернет-проектов
Dmitry Evteev
892 views
26 slides
Тестирование доступности ПО для людей с ограниченными возможностями
SQALab
1.2k views
20 slides
Advertisement

More Related Content

Slideshows for you (20)

Анализ инструментов автоматизации мобильного тестирования
SQALab
1.4k views
Penetration testing
Training center "Echelon"
985 views
Ломаем (и строим) вместе
Dmitry Evteev
938 views
SQADAYS 21 Москва 2017
Adam Sandman
1.3k views
Использование комбинаторного тестирования для мобильных приложений
SQALab
885 views
Собираем команду хакеров
Dmitry Evteev
1.7k views
Sergey Gordeychik SQADays 2008
guest5b66888
576 views
Оценка защищенности Web-приложений
SQALab
635 views
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
SQALab
459 views
About Testers
antsh
403 views
Автоматизация построения правил для Approof
Positive Hack Days
1.5k views
Svyatoslav Login
Dakiry
130 views
Security Metrics for PCI Compliance
qqlan
604 views
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
2.7k views
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest
443 views
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
SQALab
924 views
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
9.1k views
Внедрение автоматизации тестирования на Сервисной Шине
SQALab
544 views
Провокации автоматического тестирования
Igor Lyubin
141 views
Сергей Белов
CodeFest
823 views
Анализ инструментов автоматизации мобильного тестирования
SQALab
1.4k views
32 slides
Penetration testing
Training center "Echelon"
985 views
25 slides
Ломаем (и строим) вместе
Dmitry Evteev
938 views
31 slides
SQADAYS 21 Москва 2017
Adam Sandman
1.3k views
33 slides
Использование комбинаторного тестирования для мобильных приложений
SQALab
885 views
21 slides
Собираем команду хакеров
Dmitry Evteev
1.7k views
18 slides

Similar to Security zap and selenium (20)

В топку Postman - пишем API автотесты в привычном стеке
COMAQA.BY
2.3k views
NPAPI
Timur Rakhmatillaev
2.1k views
The fast and the continuous (SeleniumCamp 2014)
Andrei Solntsev
1.3k views
Автоматизация тестирования: отбрасываем лишнее и проверяем суть
SQALab
2.8k views
Winium — это как Selenium, только под Windows
SQALab
4.8k views
«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС
2ГИС Технологии
78 views
Дмитрий Лукьяненко: Первый фреймворк на Selenium + TestNG
DataArt
420 views
The fast and the continuous - SQA Days 16
Andrei Solntsev
786 views
The fast and the continuous
SQALab
4.7k views
Automation Overview
KiraKeiss
409 views
Appium + selenide comaqa.by. Антон Семенченко
Alina Dolgikh
6.5k views
selenium stack in python
COMAQA.BY
653 views
Экономически эффективный процесс тестирования
CodeFest
7.6k views
Андрей Стахиевич - Appium Mobile Automation Tool
QA Club Minsk
1.7k views
Экономически эффективный процесс тестирования (Codefest 2015)
Andrei Solntsev
766 views
Олександр Хотемський “Обзор архитектуры Selenium WebDriver”
Dakiry
844 views
CodeFest 2012. Курносова Т. и Баяндин А. — Selenium2: полевые испытания
CodeFest
536 views
Вирусное тестирование. Что-то новое в конфигурационном тестировании
SQALab
590 views
Автоматизация тестирования в iOS-проекте на примере ICQ / Д.Куркин, М.Манаев ...
Ontico
318 views
Развитие процессов тестирования в Badoo за три года
SQALab
11.2k views
В топку Postman - пишем API автотесты в привычном стеке
COMAQA.BY
2.3k views
24 slides
NPAPI
Timur Rakhmatillaev
2.1k views
36 slides
The fast and the continuous (SeleniumCamp 2014)
Andrei Solntsev
1.3k views
50 slides
Автоматизация тестирования: отбрасываем лишнее и проверяем суть
SQALab
2.8k views
62 slides
Winium — это как Selenium, только под Windows
SQALab
4.8k views
49 slides
«Winium — это как Selenium, только под Windows» – Глеб Головин, 2ГИС
2ГИС Технологии
78 views
49 slides
Advertisement

Recently uploaded (20)

Samsung Galaxy S23 Ultra
Thế Giới Di Động
64 views
Экологический мониторинг. Морозов Виталий - Регионы экологического риска РК. ...
Виталий Морозов
3 views
iCAM Group.pdf
SergeArie
6 views
402369.pptx
ssuser3f75831
2 views
Существующие технологии стежка типа 301 и их недостатки.pdf
Zarif Tadjibaev
4 views
iimg1.pdf
Thế Giới Di Động
10 views
Стандарты по управлению ИБ (1).pptx
ghdffds
25 views
Исследование.pptx
masha bazyleva
12 views
Паровая машина
SobirjonQodirov
2 views
Рекомендации для подбора игрового ноутбука.pptx
masha bazyleva
11 views
MockServer-driven development
Testableapple
321 views
Рекомендация по подбору офисного, рабочего ноутбука.pptx
masha bazyleva
7 views
Continuous integration testing of mobile SDK
Testableapple
312 views
биостат.pptx
ssuser9ed2e7
16 views
Upg_Pack_DUW.docx
UOPSETIF
4 views
Transpile it.pdf
OlegKlimenko6
44 views
4CIO.ppt
BairDanilov1
2 views
Презентация.pptx
ssuser29ec50
2 views
Текст.pptx
TalgatAmantaev
29 views
Презентация Патч корд.ppt
JavohirFayz
6 views
Samsung Galaxy S23 Ultra
Thế Giới Di Động
64 views
1 slide
Экологический мониторинг. Морозов Виталий - Регионы экологического риска РК. ...
Виталий Морозов
3 views
26 slides
iCAM Group.pdf
SergeArie
6 views
59 slides
402369.pptx
ssuser3f75831
2 views
27 slides
Существующие технологии стежка типа 301 и их недостатки.pdf
Zarif Tadjibaev
4 views
8 slides
iimg1.pdf
Thế Giới Di Động
10 views
1 slide

Security zap and selenium

  1. 1. Автоматическое тестирование безопасности ZAP и Selenium Шапин Антон @kirlionik
  2. 2. Немного мании величия Шапин Антон • Руководитель отдела тестирования am.ru • В IT более семи лет. • Занимаюсь различными видами тестирования(от ручного до автоматизированного) Site: http://qaengineer.ru E-mail: shapin.anton@gmail.com
  3. 3. Чего НЕ будет в докладе • Раскрытие "чёрной магии" взлома сайтов • Сравнения инструментов по тестированию безопасности
  4. 4. О чём пойдет речь • Что такое ZAP с демонстрацией • Интеграция ZAP и Selenium Web Driver • Внедрение автоматического тестирования безопасности в существующую систему автотестов
  5. 5. Предупреждение • Я не специалист по security тестированию • Я за качество продукта!
  6. 6. Начнём!
  7. 7. Zed Attack Proxy (ZAP) • Простой инструмент для проведения pentest'а web-порталов • Полностью бесплатное c открытым исходным кодом • Идеально для внедрения в систему автоматического тестирования безопасности • Идеальный инструмент для новичков, который используют и профессионалы
  8. 8. На что способен ZAP • Intercepting Proxy • Automated scanner • Passive scanner • Brute Force scanner • Spider
  9. 9. На что способен ZAP • Fuzzer • Smartcard and Client Digital Certificates support • Port scanner • Dynamic SSL certificates • API • Beanshell integration
  10. 10. Ручное использование ZAP Web browser QA Expert ZAP Web Application
  11. 11. Ручное использование
  12. 12. Зачем нам Selenium? • Автоматические Security Regress Tests • Не обязательны глубокие знания "Чёрной магии" • Интеграция тестирования безопасности с continuous integration • Возможность проверки только необходимых модулей, а не всей системы
  13. 13. Build Tool + Selenium + ZAP = Profit! Web browser Build tool Web Driver Web ZAP Application
  14. 14. Build Tool + Selenium + ZAP
  15. 15. Плюсы использования • Позволяет быстро убрать с портала грубые ошибки безопасности (на халяву!) • Контроль качества безопасности кода при каждом билде
  16. 16. Плюсы использования • Проверка только отдельных модулей на уязвимости, а не всего портала • Легкая интеграция с уже имеющейся системой автотестов • Кросс-платформенность
  17. 17. Предостережения • ZAP не даёт гарантии, что ваш портал не взломают • ZAP написан на Java, как следствие любит кушать (иногда жрать) память
  18. 18. Полезные ссылки • Домашняя страница ZAP https://www.owasp.org/index.php/ZAP • Downloads, wiki, source code http://code.google.com/p/zaproxy/downloads/list • ZAP announcements @zaproxy
  19. 19. Спасибо за внимание!

Editor's Notes

  • 1. Есть ли люди, которые специализируются на тестировании безопасности? 2. Есть ли тут люди, которым это интересно, но не хватает знаний для этого? 3. Есть ли разработчики веб приложений? Насколько вы уверены в безопасности своего кода?
  • Занимаюсь нарузочным, функциональным тестированием. am.ru — Одна из крупнейших баз объявлений по продаже автомобилей России, которая обновляется и дополняется ежедневно. Более двадцати тысяч новых предложений каждый день, один проданный автомобиль каждые три минуты
  • Для многих людей взлом веб порталов ассоциируется с черной магией. Существует масса инструментов для проведения тестирования по безопасности. Есть платные монстры, бесплатные. Есть просто руки. В докладе я не буду приводить сравнения этих инструментов.
  • Я покажу, что такое инструмент ZAP, как с его помощью можно будет найти уязвимости. Ну и самое главное, как его можно интегрировать с уже существующей базой автоматических тестов без глобальных изменений.
  • Вот так выглядят люди, которые уверены, что их приложение легко взломать не получится, и при этом не проводят периодические при
  • История с использованием ZAP в нашей фирме началась с момента появления необходимости проводить тестирование на безопасность. Основные требования к системе: 1. Система должна быть автоматической. 2. Легко внедряемая в систему существующую систему тестирования. 3. Желательно бесплатна.
  • Fuzz тестирование или Fuzzing это black box тестирование программного обеспечения техникой, которая в основном состоит в нахождении ошибки реализации передачи не правильных или полу правильных данных в параметрах веб приложения.

×