SlideShare a Scribd company logo

MAteusz Olejarka - Testy Bezpieczenstwa 2

Download as PPTX, PDF
K
kraqa

Prezentacja Mateusza Olejarki wygłoszona na VII KraQA, 25.11.2014

Engineering
1 of 29
Przykłady błędów bezpieczeństwa w kilku krokach, czyli rzecz o atakowaniu procesów Mateusz Olejarka
Kto zacz? ● Starszy specjalista ds. bezpieczeństwa IT, SecuRing ● (Były) programista ● Testerzy.pl, trener ● OWASP Poland, członek zarządu
Agenda ● Bezpieczeństwo procesów ● Przyda się ● Przykłady i techniki ● Pytania
Bezpieczeństwo procesów?! ● Czemu testować bezpieczeństwo procesów?
Bezpieczeństwo procesów?! ● Błędy na poziomie: – Logiki procesu – Implementacji procesu
Przyda się ● Web developer – Pokazuje pola ukryte na formularzu – Zdejmuje ograniczenie długości pól – Uaktywnia pola zablokowane (disabled) – Zamiana pól wyboru na tekstowe
Przyda się ● HTTP proxy Przeglądarka Proxy Serwer
Proces - schemat ● Omówienie procesu ● Jak go zaatakować? ● Co było nie tak? ● Techniki testowania
Przykłady ● Edycja elementu danych ● Przypomnienie hasła ● Zmiana nr telefonu do autoryzacji SMS ● Zlecenie z autoryzacją X 3
Edycja elementu danych ● Proces – Wybór elementu danych z listy – Zmiana danych – Zapisanie zmian (+ ew. autoryzacja)
Edycja elementu danych ● Proces – Wybór elementu danych z listy – Zmiana danych – Zapisanie zmian (+ ew. autoryzacja) ● Identyfikator elementu danych w polu ukrytym jest przesyłany w kroku 1 i 2
Przypomnienie hasła ● Proces – Podanie adresu email – Podanie kodu otrzymanego na email – Zmiana hasła
Przypomnienie hasła
Przypomnienie hasła bob@securing.pl
Technika nr 1 Manipulacja parametrami ukrytymi i zablokowanymi do edycji
Zmiana nr telefonu ● Proces – Podanie treści kodu sms, który przyszedł na stary telefon – Podanie nowego numeru telefonu – Podanie treści kodu sms, który przyszedł na nowy telefon – Zapisanie zmiany
Technika nr 2 Weryfikacja walidacji wymaganych parametrów ( format i wartość )
Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji
Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji ● Podpowiedź: Proszę Państwa, to jest proste ;)
Technika nr 3 Pominięcie parametru i jego wartości podczas wykonania akcji na formularzu
Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji
Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji ● Podczas wykonania autoryzacji przesyłane są dane transakcji
Technika nr 4 Powtórzenie operacji autoryzacji ze zmienionymi danymi
Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji
Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji ● Dostępne akcje na formularzu to: – signandsend – save
Technika nr 5 Eksperymentuj !
Czekamy na Was! Darmowe konsultacje: www.securing.pl/konsultacje Pracuj z nami: www.securing.pl/pl/kariera.html
Kontakt http://www.securing.pl e-mail: info@securing.pl tel. (12) 4252575 fax. (12) 4252593 Mateusz Olejarka mateusz.olejarka@securing.pl

Recommended

Procesy biznesowe z perspektywy atakującego
Procesy biznesowe z perspektywy atakującegoProcesy biznesowe z perspektywy atakującego
Procesy biznesowe z perspektywy atakującegoMateusz Olejarka
 
Więcej testów/mniej kodu - Michał Gaworski, kraQA 13
Więcej testów/mniej kodu - Michał Gaworski, kraQA 13Więcej testów/mniej kodu - Michał Gaworski, kraQA 13
Więcej testów/mniej kodu - Michał Gaworski, kraQA 13kraqa
 
The Science of Software Developing Data-Driven Product Roadmaps (ProductCamp ...
The Science of Software Developing Data-Driven Product Roadmaps (ProductCamp ...The Science of Software Developing Data-Driven Product Roadmaps (ProductCamp ...
The Science of Software Developing Data-Driven Product Roadmaps (ProductCamp ...ProductCamp Boston
 
LavaCon 2015 use Case: Coming out: I love Word and you can too!
LavaCon 2015 use Case: Coming out: I love Word and you can too!LavaCon 2015 use Case: Coming out: I love Word and you can too!
LavaCon 2015 use Case: Coming out: I love Word and you can too!Johanne Lavallée
 
Student Project MECH M1
Student Project MECH M1Student Project MECH M1
Student Project MECH M1Dalton Goodwin
 
.Net overview|Introduction Of .net
.Net overview|Introduction Of .net.Net overview|Introduction Of .net
.Net overview|Introduction Of .netpinky singh
 
Aprendizaje autonomo
Aprendizaje autonomoAprendizaje autonomo
Aprendizaje autonomoDulce Irene Lopez
 
PCA16-Become the Product Manager You Always Thought You Could Be
PCA16-Become the Product Manager You Always Thought You Could BePCA16-Become the Product Manager You Always Thought You Could Be
PCA16-Become the Product Manager You Always Thought You Could BeRay Hernandez
 

Recommended

Procesy biznesowe z perspektywy atakującego
Procesy biznesowe z perspektywy atakującegoProcesy biznesowe z perspektywy atakującego
Procesy biznesowe z perspektywy atakującegoMateusz Olejarka
 
Więcej testów/mniej kodu - Michał Gaworski, kraQA 13
Więcej testów/mniej kodu - Michał Gaworski, kraQA 13Więcej testów/mniej kodu - Michał Gaworski, kraQA 13
Więcej testów/mniej kodu - Michał Gaworski, kraQA 13kraqa
 
The Science of Software Developing Data-Driven Product Roadmaps (ProductCamp ...
The Science of Software Developing Data-Driven Product Roadmaps (ProductCamp ...The Science of Software Developing Data-Driven Product Roadmaps (ProductCamp ...
The Science of Software Developing Data-Driven Product Roadmaps (ProductCamp ...ProductCamp Boston
 
LavaCon 2015 use Case: Coming out: I love Word and you can too!
LavaCon 2015 use Case: Coming out: I love Word and you can too!LavaCon 2015 use Case: Coming out: I love Word and you can too!
LavaCon 2015 use Case: Coming out: I love Word and you can too!Johanne Lavallée
 
Student Project MECH M1
Student Project MECH M1Student Project MECH M1
Student Project MECH M1Dalton Goodwin
 
.Net overview|Introduction Of .net
.Net overview|Introduction Of .net.Net overview|Introduction Of .net
.Net overview|Introduction Of .netpinky singh
 
Aprendizaje autonomo
Aprendizaje autonomoAprendizaje autonomo
Aprendizaje autonomoDulce Irene Lopez
 
PCA16-Become the Product Manager You Always Thought You Could Be
PCA16-Become the Product Manager You Always Thought You Could BePCA16-Become the Product Manager You Always Thought You Could Be
PCA16-Become the Product Manager You Always Thought You Could BeRay Hernandez
 
Product Manager - Growth: A New Role with a Sole Focus on Growth
Product Manager - Growth: A New Role with a Sole Focus on GrowthProduct Manager - Growth: A New Role with a Sole Focus on Growth
Product Manager - Growth: A New Role with a Sole Focus on GrowthJason Meresman
 
Notes - Behavioural Design Workshop (HIF 2013)
Notes - Behavioural Design Workshop (HIF 2013)Notes - Behavioural Design Workshop (HIF 2013)
Notes - Behavioural Design Workshop (HIF 2013)ktphinnovation
 
Francisco y Silvia
Francisco y SilviaFrancisco y Silvia
Francisco y SilviaLuis Gil Gil
 
Dev Summit Sf Flash Search V5
Dev Summit Sf Flash Search V5Dev Summit Sf Flash Search V5
Dev Summit Sf Flash Search V5Nine By Blue
 
East African Breweries Limited Initiation Coverage Report - March 2016
East African Breweries Limited Initiation Coverage Report - March 2016East African Breweries Limited Initiation Coverage Report - March 2016
East African Breweries Limited Initiation Coverage Report - March 2016Stephanie Kimani
 
User Experience Design In Healthcare | Fresh Tilled Soil
User Experience Design In Healthcare | Fresh Tilled SoilUser Experience Design In Healthcare | Fresh Tilled Soil
User Experience Design In Healthcare | Fresh Tilled SoilFresh Tilled Soil
 
Mathematical modelling of disease progression
Mathematical modelling of disease progressionMathematical modelling of disease progression
Mathematical modelling of disease progressionyvonne0
 
Human Resource as a source of competitive advantage in IT sector- Manorama Yadav
Human Resource as a source of competitive advantage in IT sector- Manorama YadavHuman Resource as a source of competitive advantage in IT sector- Manorama Yadav
Human Resource as a source of competitive advantage in IT sector- Manorama YadavMukesh Kumar Yadav
 
санітарно гігієнічні вимоги щодо устаткування в днз
санітарно гігієнічні вимоги щодо устаткування в днзсанітарно гігієнічні вимоги щодо устаткування в днз
санітарно гігієнічні вимоги щодо устаткування в днзiris21333
 
Sugestões de leitura
Sugestões de leituraSugestões de leitura
Sugestões de leituraFernanda Oliveira
 
User Stories writing - Bettersoftware 2012
User Stories writing - Bettersoftware 2012User Stories writing - Bettersoftware 2012
User Stories writing - Bettersoftware 2012Fabio Armani
 
Cross Functional Teams and the Product Manager
Cross Functional Teams and the Product ManagerCross Functional Teams and the Product Manager
Cross Functional Teams and the Product ManagerSVPMA
 
Adapting to change
Adapting to changeAdapting to change
Adapting to changeProduct Camp Sydney
 
Roles & Responsibilities of product manager
Roles & Responsibilities of product managerRoles & Responsibilities of product manager
Roles & Responsibilities of product managerRaja Ajay Maddineni
 
Oracle Big Data Governance Webcast Charts
Oracle Big Data Governance Webcast ChartsOracle Big Data Governance Webcast Charts
Oracle Big Data Governance Webcast ChartsJeffrey T. Pollock
 
PRPL Pattern with Webpack and React
PRPL Pattern with Webpack and ReactPRPL Pattern with Webpack and React
PRPL Pattern with Webpack and ReactGrgur Grisogono
 
De Cap en Cap: Un projet qui rapporte bien plus que des condos
De Cap en Cap: Un projet qui rapporte bien plus que des condosDe Cap en Cap: Un projet qui rapporte bien plus que des condos
De Cap en Cap: Un projet qui rapporte bien plus que des condosJohanne Lavallée
 
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz OlejarkaPROIDEA
 
PLNOG 21: Piotr Wojciechowski - ANSIBLE_I_AUTOMATYZACJA_W_ŚRODOWISKACH_SZCZEG...
PLNOG 21: Piotr Wojciechowski - ANSIBLE_I_AUTOMATYZACJA_W_ŚRODOWISKACH_SZCZEG...PLNOG 21: Piotr Wojciechowski - ANSIBLE_I_AUTOMATYZACJA_W_ŚRODOWISKACH_SZCZEG...
PLNOG 21: Piotr Wojciechowski - ANSIBLE_I_AUTOMATYZACJA_W_ŚRODOWISKACH_SZCZEG...PROIDEA
 
Obsługa klienta z wykorzystaniem sztucznej inteligencji
Obsługa klienta z wykorzystaniem sztucznej inteligencjiObsługa klienta z wykorzystaniem sztucznej inteligencji
Obsługa klienta z wykorzystaniem sztucznej inteligencji2040.io
 
Obietnice i wyzwania Robotic Process Automation - 2018.04
Obietnice i wyzwania Robotic Process Automation - 2018.04Obietnice i wyzwania Robotic Process Automation - 2018.04
Obietnice i wyzwania Robotic Process Automation - 2018.04TRostkowski
 
System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP IT-factory
 

More Related Content

Viewers also liked

Product Manager - Growth: A New Role with a Sole Focus on Growth
Product Manager - Growth: A New Role with a Sole Focus on GrowthProduct Manager - Growth: A New Role with a Sole Focus on Growth
Product Manager - Growth: A New Role with a Sole Focus on GrowthJason Meresman
 
Notes - Behavioural Design Workshop (HIF 2013)
Notes - Behavioural Design Workshop (HIF 2013)Notes - Behavioural Design Workshop (HIF 2013)
Notes - Behavioural Design Workshop (HIF 2013)ktphinnovation
 
Francisco y Silvia
Francisco y SilviaFrancisco y Silvia
Francisco y SilviaLuis Gil Gil
 
Dev Summit Sf Flash Search V5
Dev Summit Sf Flash Search V5Dev Summit Sf Flash Search V5
Dev Summit Sf Flash Search V5Nine By Blue
 
East African Breweries Limited Initiation Coverage Report - March 2016
East African Breweries Limited Initiation Coverage Report - March 2016East African Breweries Limited Initiation Coverage Report - March 2016
East African Breweries Limited Initiation Coverage Report - March 2016Stephanie Kimani
 
User Experience Design In Healthcare | Fresh Tilled Soil
User Experience Design In Healthcare | Fresh Tilled SoilUser Experience Design In Healthcare | Fresh Tilled Soil
User Experience Design In Healthcare | Fresh Tilled SoilFresh Tilled Soil
 
Mathematical modelling of disease progression
Mathematical modelling of disease progressionMathematical modelling of disease progression
Mathematical modelling of disease progressionyvonne0
 
Human Resource as a source of competitive advantage in IT sector- Manorama Yadav
Human Resource as a source of competitive advantage in IT sector- Manorama YadavHuman Resource as a source of competitive advantage in IT sector- Manorama Yadav
Human Resource as a source of competitive advantage in IT sector- Manorama YadavMukesh Kumar Yadav
 
санітарно гігієнічні вимоги щодо устаткування в днз
санітарно гігієнічні вимоги щодо устаткування в днзсанітарно гігієнічні вимоги щодо устаткування в днз
санітарно гігієнічні вимоги щодо устаткування в днзiris21333
 
User Stories writing - Bettersoftware 2012
User Stories writing - Bettersoftware 2012User Stories writing - Bettersoftware 2012
User Stories writing - Bettersoftware 2012Fabio Armani
 
Cross Functional Teams and the Product Manager
Cross Functional Teams and the Product ManagerCross Functional Teams and the Product Manager
Cross Functional Teams and the Product ManagerSVPMA
 
Roles & Responsibilities of product manager
Roles & Responsibilities of product managerRoles & Responsibilities of product manager
Roles & Responsibilities of product managerRaja Ajay Maddineni
 
Oracle Big Data Governance Webcast Charts
Oracle Big Data Governance Webcast ChartsOracle Big Data Governance Webcast Charts
Oracle Big Data Governance Webcast ChartsJeffrey T. Pollock
 
PRPL Pattern with Webpack and React
PRPL Pattern with Webpack and ReactPRPL Pattern with Webpack and React
PRPL Pattern with Webpack and ReactGrgur Grisogono
 
De Cap en Cap: Un projet qui rapporte bien plus que des condos
De Cap en Cap: Un projet qui rapporte bien plus que des condosDe Cap en Cap: Un projet qui rapporte bien plus que des condos
De Cap en Cap: Un projet qui rapporte bien plus que des condosJohanne Lavallée
 

Viewers also liked (17)

Product Manager - Growth: A New Role with a Sole Focus on Growth
Product Manager - Growth: A New Role with a Sole Focus on GrowthProduct Manager - Growth: A New Role with a Sole Focus on Growth
Product Manager - Growth: A New Role with a Sole Focus on Growth
 
Notes - Behavioural Design Workshop (HIF 2013)
Notes - Behavioural Design Workshop (HIF 2013)Notes - Behavioural Design Workshop (HIF 2013)
Notes - Behavioural Design Workshop (HIF 2013)
 
Francisco y Silvia
Francisco y SilviaFrancisco y Silvia
Francisco y Silvia
 
Dev Summit Sf Flash Search V5
Dev Summit Sf Flash Search V5Dev Summit Sf Flash Search V5
Dev Summit Sf Flash Search V5
 
East African Breweries Limited Initiation Coverage Report - March 2016
East African Breweries Limited Initiation Coverage Report - March 2016East African Breweries Limited Initiation Coverage Report - March 2016
East African Breweries Limited Initiation Coverage Report - March 2016
 
User Experience Design In Healthcare | Fresh Tilled Soil
User Experience Design In Healthcare | Fresh Tilled SoilUser Experience Design In Healthcare | Fresh Tilled Soil
User Experience Design In Healthcare | Fresh Tilled Soil
 
Mathematical modelling of disease progression
Mathematical modelling of disease progressionMathematical modelling of disease progression
Mathematical modelling of disease progression
 
Human Resource as a source of competitive advantage in IT sector- Manorama Yadav
Human Resource as a source of competitive advantage in IT sector- Manorama YadavHuman Resource as a source of competitive advantage in IT sector- Manorama Yadav
Human Resource as a source of competitive advantage in IT sector- Manorama Yadav
 
санітарно гігієнічні вимоги щодо устаткування в днз
санітарно гігієнічні вимоги щодо устаткування в днзсанітарно гігієнічні вимоги щодо устаткування в днз
санітарно гігієнічні вимоги щодо устаткування в днз
 
Sugestões de leitura
Sugestões de leituraSugestões de leitura
Sugestões de leitura
 
User Stories writing - Bettersoftware 2012
User Stories writing - Bettersoftware 2012User Stories writing - Bettersoftware 2012
User Stories writing - Bettersoftware 2012
 
Cross Functional Teams and the Product Manager
Cross Functional Teams and the Product ManagerCross Functional Teams and the Product Manager
Cross Functional Teams and the Product Manager
 
Adapting to change
Adapting to changeAdapting to change
Adapting to change
 
Roles & Responsibilities of product manager
Roles & Responsibilities of product managerRoles & Responsibilities of product manager
Roles & Responsibilities of product manager
 
Oracle Big Data Governance Webcast Charts
Oracle Big Data Governance Webcast ChartsOracle Big Data Governance Webcast Charts
Oracle Big Data Governance Webcast Charts
 
PRPL Pattern with Webpack and React
PRPL Pattern with Webpack and ReactPRPL Pattern with Webpack and React
PRPL Pattern with Webpack and React
 
De Cap en Cap: Un projet qui rapporte bien plus que des condos
De Cap en Cap: Un projet qui rapporte bien plus que des condosDe Cap en Cap: Un projet qui rapporte bien plus que des condos
De Cap en Cap: Un projet qui rapporte bien plus que des condos
 

Similar to MAteusz Olejarka - Testy Bezpieczenstwa 2

4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz OlejarkaPROIDEA
 
PLNOG 21: Piotr Wojciechowski - ANSIBLE_I_AUTOMATYZACJA_W_ŚRODOWISKACH_SZCZEG...
PLNOG 21: Piotr Wojciechowski - ANSIBLE_I_AUTOMATYZACJA_W_ŚRODOWISKACH_SZCZEG...PLNOG 21: Piotr Wojciechowski - ANSIBLE_I_AUTOMATYZACJA_W_ŚRODOWISKACH_SZCZEG...
PLNOG 21: Piotr Wojciechowski - ANSIBLE_I_AUTOMATYZACJA_W_ŚRODOWISKACH_SZCZEG...PROIDEA
 
Obsługa klienta z wykorzystaniem sztucznej inteligencji
Obsługa klienta z wykorzystaniem sztucznej inteligencjiObsługa klienta z wykorzystaniem sztucznej inteligencji
Obsługa klienta z wykorzystaniem sztucznej inteligencji2040.io
 
Obietnice i wyzwania Robotic Process Automation - 2018.04
Obietnice i wyzwania Robotic Process Automation - 2018.04Obietnice i wyzwania Robotic Process Automation - 2018.04
Obietnice i wyzwania Robotic Process Automation - 2018.04TRostkowski
 
System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP IT-factory
 
Automatyzacja Procesów Biznesowych (RPA) - Zmieniamy teorię w praktykę
Automatyzacja Procesów Biznesowych (RPA) - Zmieniamy teorię w praktykę Automatyzacja Procesów Biznesowych (RPA) - Zmieniamy teorię w praktykę
Automatyzacja Procesów Biznesowych (RPA) - Zmieniamy teorię w praktykę Mindbox
 
Prezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+LipskiPrezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+Lipskidareklipski
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 

Similar to MAteusz Olejarka - Testy Bezpieczenstwa 2 (8)

4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
 
PLNOG 21: Piotr Wojciechowski - ANSIBLE_I_AUTOMATYZACJA_W_ŚRODOWISKACH_SZCZEG...
PLNOG 21: Piotr Wojciechowski - ANSIBLE_I_AUTOMATYZACJA_W_ŚRODOWISKACH_SZCZEG...PLNOG 21: Piotr Wojciechowski - ANSIBLE_I_AUTOMATYZACJA_W_ŚRODOWISKACH_SZCZEG...
PLNOG 21: Piotr Wojciechowski - ANSIBLE_I_AUTOMATYZACJA_W_ŚRODOWISKACH_SZCZEG...
 
Obsługa klienta z wykorzystaniem sztucznej inteligencji
Obsługa klienta z wykorzystaniem sztucznej inteligencjiObsługa klienta z wykorzystaniem sztucznej inteligencji
Obsługa klienta z wykorzystaniem sztucznej inteligencji
 
Obietnice i wyzwania Robotic Process Automation - 2018.04
Obietnice i wyzwania Robotic Process Automation - 2018.04Obietnice i wyzwania Robotic Process Automation - 2018.04
Obietnice i wyzwania Robotic Process Automation - 2018.04
 
System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP
 
Automatyzacja Procesów Biznesowych (RPA) - Zmieniamy teorię w praktykę
Automatyzacja Procesów Biznesowych (RPA) - Zmieniamy teorię w praktykę Automatyzacja Procesów Biznesowych (RPA) - Zmieniamy teorię w praktykę
Automatyzacja Procesów Biznesowych (RPA) - Zmieniamy teorię w praktykę
 
Prezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+LipskiPrezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+Lipski
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
 

More from kraqa

RestAssured w sluzbie testow API
RestAssured w sluzbie testow APIRestAssured w sluzbie testow API
RestAssured w sluzbie testow APIkraqa
 
Postman - podstawy testowania REST API
Postman - podstawy testowania REST APIPostman - podstawy testowania REST API
Postman - podstawy testowania REST APIkraqa
 
Stanislaw potoczny kra_qa_21.01.20
Stanislaw potoczny kra_qa_21.01.20Stanislaw potoczny kra_qa_21.01.20
Stanislaw potoczny kra_qa_21.01.20kraqa
 
Machine learning powered regression - KraQA 42 - Pawel Dyrek
Machine learning powered regression - KraQA 42 - Pawel Dyrek Machine learning powered regression - KraQA 42 - Pawel Dyrek
Machine learning powered regression - KraQA 42 - Pawel Dyrek kraqa
 
Kontrakt testy - KraQA 42 - Slawomir Radzyminski
Kontrakt testy - KraQA 42 - Slawomir RadzyminskiKontrakt testy - KraQA 42 - Slawomir Radzyminski
Kontrakt testy - KraQA 42 - Slawomir Radzyminskikraqa
 
KraQA#41 - PageFactory
KraQA#41 - PageFactoryKraQA#41 - PageFactory
KraQA#41 - PageFactorykraqa
 
KraQA#39 - Jak testowac tool do testow
KraQA#39 - Jak testowac tool do testowKraQA#39 - Jak testowac tool do testow
KraQA#39 - Jak testowac tool do testowkraqa
 
Hyperion - wystarczy jeden shake
Hyperion - wystarczy jeden shakeHyperion - wystarczy jeden shake
Hyperion - wystarczy jeden shakekraqa
 
Wybor urzadzen mobilnych do testow
Wybor urzadzen mobilnych do testowWybor urzadzen mobilnych do testow
Wybor urzadzen mobilnych do testowkraqa
 
Continuous security
Continuous securityContinuous security
Continuous securitykraqa
 
Let s meet inside
Let s meet insideLet s meet inside
Let s meet insidekraqa
 
O wezu przy kawie
O wezu przy kawieO wezu przy kawie
O wezu przy kawiekraqa
 
Strategia do automatów
Strategia do automatówStrategia do automatów
Strategia do automatówkraqa
 
Z czym do api
Z czym do apiZ czym do api
Z czym do apikraqa
 
Jenkins pipelines
Jenkins pipelinesJenkins pipelines
Jenkins pipelineskraqa
 
Testy UI
Testy UITesty UI
Testy UIkraqa
 
Tester w pułapce myślenia
Tester w pułapce myśleniaTester w pułapce myślenia
Tester w pułapce myśleniakraqa
 
Kiedy tester zostaje managerem
Kiedy tester zostaje manageremKiedy tester zostaje managerem
Kiedy tester zostaje manageremkraqa
 
KraQA#32 - RODO
KraQA#32 - RODOKraQA#32 - RODO
KraQA#32 - RODOkraqa
 
SkładQA 2018 - Daniel Dec
SkładQA 2018 - Daniel DecSkładQA 2018 - Daniel Dec
SkładQA 2018 - Daniel Deckraqa
 

More from kraqa (20)

RestAssured w sluzbie testow API
RestAssured w sluzbie testow APIRestAssured w sluzbie testow API
RestAssured w sluzbie testow API
 
Postman - podstawy testowania REST API
Postman - podstawy testowania REST APIPostman - podstawy testowania REST API
Postman - podstawy testowania REST API
 
Stanislaw potoczny kra_qa_21.01.20
Stanislaw potoczny kra_qa_21.01.20Stanislaw potoczny kra_qa_21.01.20
Stanislaw potoczny kra_qa_21.01.20
 
Machine learning powered regression - KraQA 42 - Pawel Dyrek
Machine learning powered regression - KraQA 42 - Pawel Dyrek Machine learning powered regression - KraQA 42 - Pawel Dyrek
Machine learning powered regression - KraQA 42 - Pawel Dyrek
 
Kontrakt testy - KraQA 42 - Slawomir Radzyminski
Kontrakt testy - KraQA 42 - Slawomir RadzyminskiKontrakt testy - KraQA 42 - Slawomir Radzyminski
Kontrakt testy - KraQA 42 - Slawomir Radzyminski
 
KraQA#41 - PageFactory
KraQA#41 - PageFactoryKraQA#41 - PageFactory
KraQA#41 - PageFactory
 
KraQA#39 - Jak testowac tool do testow
KraQA#39 - Jak testowac tool do testowKraQA#39 - Jak testowac tool do testow
KraQA#39 - Jak testowac tool do testow
 
Hyperion - wystarczy jeden shake
Hyperion - wystarczy jeden shakeHyperion - wystarczy jeden shake
Hyperion - wystarczy jeden shake
 
Wybor urzadzen mobilnych do testow
Wybor urzadzen mobilnych do testowWybor urzadzen mobilnych do testow
Wybor urzadzen mobilnych do testow
 
Continuous security
Continuous securityContinuous security
Continuous security
 
Let s meet inside
Let s meet insideLet s meet inside
Let s meet inside
 
O wezu przy kawie
O wezu przy kawieO wezu przy kawie
O wezu przy kawie
 
Strategia do automatów
Strategia do automatówStrategia do automatów
Strategia do automatów
 
Z czym do api
Z czym do apiZ czym do api
Z czym do api
 
Jenkins pipelines
Jenkins pipelinesJenkins pipelines
Jenkins pipelines
 
Testy UI
Testy UITesty UI
Testy UI
 
Tester w pułapce myślenia
Tester w pułapce myśleniaTester w pułapce myślenia
Tester w pułapce myślenia
 
Kiedy tester zostaje managerem
Kiedy tester zostaje manageremKiedy tester zostaje managerem
Kiedy tester zostaje managerem
 
KraQA#32 - RODO
KraQA#32 - RODOKraQA#32 - RODO
KraQA#32 - RODO
 
SkładQA 2018 - Daniel Dec
SkładQA 2018 - Daniel DecSkładQA 2018 - Daniel Dec
SkładQA 2018 - Daniel Dec
 

MAteusz Olejarka - Testy Bezpieczenstwa 2

  • 1. Przykłady błędów bezpieczeństwa w kilku krokach, czyli rzecz o atakowaniu procesów Mateusz Olejarka
  • 2. Kto zacz? ● Starszy specjalista ds. bezpieczeństwa IT, SecuRing ● (Były) programista ● Testerzy.pl, trener ● OWASP Poland, członek zarządu
  • 3. Agenda ● Bezpieczeństwo procesów ● Przyda się ● Przykłady i techniki ● Pytania
  • 4. Bezpieczeństwo procesów?! ● Czemu testować bezpieczeństwo procesów?
  • 5. Bezpieczeństwo procesów?! ● Błędy na poziomie: – Logiki procesu – Implementacji procesu
  • 6. Przyda się ● Web developer – Pokazuje pola ukryte na formularzu – Zdejmuje ograniczenie długości pól – Uaktywnia pola zablokowane (disabled) – Zamiana pól wyboru na tekstowe
  • 7. Przyda się ● HTTP proxy Przeglądarka Proxy Serwer
  • 8. Proces - schemat ● Omówienie procesu ● Jak go zaatakować? ● Co było nie tak? ● Techniki testowania
  • 9. Przykłady ● Edycja elementu danych ● Przypomnienie hasła ● Zmiana nr telefonu do autoryzacji SMS ● Zlecenie z autoryzacją X 3
  • 10. Edycja elementu danych ● Proces – Wybór elementu danych z listy – Zmiana danych – Zapisanie zmian (+ ew. autoryzacja)
  • 11. Edycja elementu danych ● Proces – Wybór elementu danych z listy – Zmiana danych – Zapisanie zmian (+ ew. autoryzacja) ● Identyfikator elementu danych w polu ukrytym jest przesyłany w kroku 1 i 2
  • 12. Przypomnienie hasła ● Proces – Podanie adresu email – Podanie kodu otrzymanego na email – Zmiana hasła
  • 15. Technika nr 1 Manipulacja parametrami ukrytymi i zablokowanymi do edycji
  • 16. Zmiana nr telefonu ● Proces – Podanie treści kodu sms, który przyszedł na stary telefon – Podanie nowego numeru telefonu – Podanie treści kodu sms, który przyszedł na nowy telefon – Zapisanie zmiany
  • 17. Technika nr 2 Weryfikacja walidacji wymaganych parametrów ( format i wartość )
  • 18. Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji
  • 19. Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji ● Podpowiedź: Proszę Państwa, to jest proste ;)
  • 20. Technika nr 3 Pominięcie parametru i jego wartości podczas wykonania akcji na formularzu
  • 21. Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji
  • 22. Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji ● Podczas wykonania autoryzacji przesyłane są dane transakcji
  • 23. Technika nr 4 Powtórzenie operacji autoryzacji ze zmienionymi danymi
  • 24. Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji
  • 25. Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji ● Dostępne akcje na formularzu to: – signandsend – save
  • 26. Technika nr 5 Eksperymentuj !
  • 27.
  • 28. Czekamy na Was! Darmowe konsultacje: www.securing.pl/konsultacje Pracuj z nami: www.securing.pl/pl/kariera.html
  • 29. Kontakt http://www.securing.pl e-mail: info@securing.pl tel. (12) 4252575 fax. (12) 4252593 Mateusz Olejarka mateusz.olejarka@securing.pl