Uploaded byGTestClub
PPTX, PDF558 views

Security & penetration testing

Документ обсуждает важность проверки на уязвимости и безопасности в различных сферах, таких как банковская и страховая деятельность, медицина и социальные сети. Он описывает методы проверки, классификацию уязвимостей по OWASP и инструменты для тестирования. Также представлены примеры уязвимостей и контактная информация автора для дальнейшей связи.

Embed presentation

Download to read offline
Security & penetration. Let’s start Svetlana Yakovleva 04/24/2014 1
Agenda • В каких случаях необходима проверка на уязвимости и безопасность • Методы проверок • OWASP классификация хакерских атак и уязвимостей ПО и как их избежать • Обзор инструментов тестирования • Примеры уязвимостей «из жизни» 2
Когда необходимо проверить? • Банковский, страховой софт • Личные данные (медицина, семейное положение, и тп) • Соц.сети • Инновационные проекты • Государственная тайна • Коммерческая тайна • Продолжите список  3
Как проверять? По ресурсам: 1. Внутренняя проверка – вручную, инструментами, автотестами 2. Привлеченные специалисты По обьему: 1. В зависимости от нужд клиента 2. В зависимости от специфики приложения 3. Атаки 4. Уязвимости 4
QWASP классификация • A1 Injection (Инъекции, к примеру SQL, CSS, JS) • A2 Cross Site Scripting (XSS межсайтовый скриптинг) • A3 Broken Authentication and Session Management (ошибки аутентификации) • A4 Insecure Direct Object References (незащищенные ресурсы и объекты) • A5 Cross Site Request Forgery (CSRF подделка межсайтовых запросов) • A6 Security Misconfiguration (небезопасная конфигурация окружения) • A7 Failure to Restrict URL Access (несанкционированный доступ) • A8 Unvalidated Redirects and Forwards (открытый редирект) • A9 Insecure Cryptographic Storage (небезопасное хранение данных) • A10 Insufficient Transport Layer Protection (недостаточная защита данных при их передаче) https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 5
Чем проверять? • Плагины – InjectME • Инструменты – WebScarab • Здравый смысл и воображение 6
Контакты Мне можно написать svetlanaw@gmail.com Или написать Skype: svetayakovleva 7

More Related Content

PPT
Реальные опасности виртуального мира.
byDmitry Evteev
 
PPTX
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
PPTX
Уязвимости систем ДБО в 2011-2012 гг.
byDmitry Evteev
 
PPTX
Безопасность сессий в веб-приложениях: практическое применение
bySQALab
 
PPT
Анализ защищенности интернет-проектов
byDmitry Evteev
 
PPTX
Опыт организации тестирования безопасности Web приложений в компании
bySQALab
 
PPTX
Услуги PT для банков
byDmitry Evteev
 
PPTX
penetest VS. APT
byDmitry Evteev
 
Реальные опасности виртуального мира.
byDmitry Evteev
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
Уязвимости систем ДБО в 2011-2012 гг.
byDmitry Evteev
 
Безопасность сессий в веб-приложениях: практическое применение
bySQALab
 
Анализ защищенности интернет-проектов
byDmitry Evteev
 
Опыт организации тестирования безопасности Web приложений в компании
bySQALab
 
Услуги PT для банков
byDmitry Evteev
 
penetest VS. APT
byDmitry Evteev
 

What's hot

PPT
Оценка защищенности Web-приложений
bySQALab
 
PPTX
Атаки на web-приложения. Основы
byPositive Hack Days
 
PPT
Sergey Gordeychik SQADays 2008
byguest5b66888
 
PPTX
Безопасность сессий в веб-приложениях
byKateryna Ovechenko
 
PPT
Pt D Do S 20090527
byqqlan
 
PPTX
Собираем команду хакеров
byDmitry Evteev
 
PPTX
Безопасная разработка (СТАЧКА 2015)
byAlexey Kachalin
 
ODP
Security zap and selenium
byAnton Shapin
 
PPT
Fuzzing - автоматическое тестирование безопасности
bySQALab
 
PDF
Исследование защищенности ИС
byAlexey Kachalin
 
PPTX
Umurashka codeib-presentation-v2
byUladzislau Murashka
 
PPTX
Тестирование на проникновение в сетях Microsoft
byDmitry Evteev
 
PPT
Что такое пентест
byDmitry Evteev
 
PPTX
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
byУчебный центр "Эшелон"
 
PPTX
Тестирование на проникновение
byУчебный центр "Эшелон"
 
PDF
Analitika web 2012_positive_technologies
byКомсс Файквэе
 
PPTX
Тестирование на проникновение в сетях Microsoft (v.2)
byDmitry Evteev
 
PPTX
ТОИБАС. Семинар 2. Идентификация и аутентификация
byMikhail Vanin
 
PDF
Современные российские средства защиты информации
byDialogueScience
 
PDF
Семь лет поиска. Что, как и зачем мы проверяем
bySelectedPresentations
 
Оценка защищенности Web-приложений
bySQALab
 
Атаки на web-приложения. Основы
byPositive Hack Days
 
Sergey Gordeychik SQADays 2008
byguest5b66888
 
Безопасность сессий в веб-приложениях
byKateryna Ovechenko
 
Pt D Do S 20090527
byqqlan
 
Собираем команду хакеров
byDmitry Evteev
 
Безопасная разработка (СТАЧКА 2015)
byAlexey Kachalin
 
Security zap and selenium
byAnton Shapin
 
Fuzzing - автоматическое тестирование безопасности
bySQALab
 
Исследование защищенности ИС
byAlexey Kachalin
 
Umurashka codeib-presentation-v2
byUladzislau Murashka
 
Тестирование на проникновение в сетях Microsoft
byDmitry Evteev
 
Что такое пентест
byDmitry Evteev
 
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
byУчебный центр "Эшелон"
 
Тестирование на проникновение
byУчебный центр "Эшелон"
 
Analitika web 2012_positive_technologies
byКомсс Файквэе
 
Тестирование на проникновение в сетях Microsoft (v.2)
byDmitry Evteev
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
byMikhail Vanin
 
Современные российские средства защиты информации
byDialogueScience
 
Семь лет поиска. Что, как и зачем мы проверяем
bySelectedPresentations
 

Viewers also liked

PPTX
Serious+performance+testing
byAlexei Lupan
 
PPTX
Performance testing with apache JMeter
byIvanLysenko
 
PPTX
Load testing of web applications
byMageCloud
 
PPTX
Как оценить тестировщика
bySQALab
 
PPT
Нагрузочное тестирование
bySPB SQA Group
 
PDF
Creating Powerful Customer Experiences
byDigital Surgeons
 
PDF
How to Craft Your Company's Storytelling Voice by Ann Handley of MarketingProfs
byMarketingProfs
 
PDF
What REALLY Differentiates The Best Content Marketers From The Rest
byRoss Simmonds
 
PDF
20 Tweetable Quotes to Inspire Marketing & Design Creative Genius
byIMPACT Branding & Design LLC
 
PDF
2015 Travel Trends
byCreative Lodging Solutions
 
PDF
40 Tools in 20 Minutes: Hacking your Marketing Career
byEric Leist
 
PDF
Digital transformation in 50 soundbites
byJulie Dodd
 
PDF
Build a Better Entrepreneur Pitch Deck
byCenter For Entrepreneurial Innovation
 
PDF
Digital, Social & Mobile in 2015
byWe Are Social Singapore
 
PDF
Eco-nomics, The hidden costs of consumption
byJosh Beatty
 
PDF
6 Snapchat Hacks Too Easy To Ignore
byGary Vaynerchuk
 
PPTX
All About Beer
byEthos3
 
PDF
Healthcare Napkins All
byDan Roam
 
PDF
SMOKE - The Convenient Truth [1st place Worlds Best Presentation Contest] by ...
byEmpowered Presentations
 
PDF
Pixar's 22 Rules to Phenomenal Storytelling
byGavin McMahon
 
Serious+performance+testing
byAlexei Lupan
 
Performance testing with apache JMeter
byIvanLysenko
 
Load testing of web applications
byMageCloud
 
Как оценить тестировщика
bySQALab
 
Нагрузочное тестирование
bySPB SQA Group
 
Creating Powerful Customer Experiences
byDigital Surgeons
 
How to Craft Your Company's Storytelling Voice by Ann Handley of MarketingProfs
byMarketingProfs
 
What REALLY Differentiates The Best Content Marketers From The Rest
byRoss Simmonds
 
20 Tweetable Quotes to Inspire Marketing & Design Creative Genius
byIMPACT Branding & Design LLC
 
2015 Travel Trends
byCreative Lodging Solutions
 
40 Tools in 20 Minutes: Hacking your Marketing Career
byEric Leist
 
Digital transformation in 50 soundbites
byJulie Dodd
 
Build a Better Entrepreneur Pitch Deck
byCenter For Entrepreneurial Innovation
 
Digital, Social & Mobile in 2015
byWe Are Social Singapore
 
Eco-nomics, The hidden costs of consumption
byJosh Beatty
 
6 Snapchat Hacks Too Easy To Ignore
byGary Vaynerchuk
 
All About Beer
byEthos3
 
Healthcare Napkins All
byDan Roam
 
SMOKE - The Convenient Truth [1st place Worlds Best Presentation Contest] by ...
byEmpowered Presentations
 
Pixar's 22 Rules to Phenomenal Storytelling
byGavin McMahon
 

Similar to Security & penetration testing

PPTX
Secure development
byIhor Uzhvenko
 
PPT
Безопасность веб-приложений сегодня
byDmitry Evteev
 
PPT
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
byrit2011
 
PDF
OWASP: безопасное программирование на PHP.
byEatDog
 
PPT
Sergey Gordeychik, Application Security in real word
byqqlan
 
PPT
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
byDmitry Evteev
 
PPT
Fuzzing: ключевая концепция обеспечения безопасности проекта
byMedia Gorod
 
PPT
Fuzzing Qa A.Komlev
byguest4e4c91
 
PPT
Fuzzing Qa A.Komlev
byguest4e4c91
 
PDF
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
byrevisium
 
PPT
Введение в тему безопасности веб-приложений
byDmitry Evteev
 
PDF
Web vulnerabilities-2018
bymalvvv
 
PPT
Безопасность CMS
by1С-Битрикс
 
PPT
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
byit-people
 
PPTX
безопасность
byShoplist
 
PDF
2013 09 21 безопасность веб-приложений
byYandex
 
PPTX
Imperva waf
byAlexandr Shakhlevich
 
PPT
Безопасность
by1С-Битрикс
 
PPT
Dmitry Evteev Pt Devteev Ritconf V2
byrit2010
 
PDF
Тренды угроз для БД и веб-приложений
byАльбина Минуллина
 
Secure development
byIhor Uzhvenko
 
Безопасность веб-приложений сегодня
byDmitry Evteev
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
byrit2011
 
OWASP: безопасное программирование на PHP.
byEatDog
 
Sergey Gordeychik, Application Security in real word
byqqlan
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
byDmitry Evteev
 
Fuzzing: ключевая концепция обеспечения безопасности проекта
byMedia Gorod
 
Fuzzing Qa A.Komlev
byguest4e4c91
 
Fuzzing Qa A.Komlev
byguest4e4c91
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
byrevisium
 
Введение в тему безопасности веб-приложений
byDmitry Evteev
 
Web vulnerabilities-2018
bymalvvv
 
Безопасность CMS
by1С-Битрикс
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
byit-people
 
безопасность
byShoplist
 
2013 09 21 безопасность веб-приложений
byYandex
 
Imperva waf
byAlexandr Shakhlevich
 
Безопасность
by1С-Битрикс
 
Dmitry Evteev Pt Devteev Ritconf V2
byrit2010
 
Тренды угроз для БД и веб-приложений
byАльбина Минуллина
 

Security & penetration testing

  • 1.
  • 2.
    Agenda • В какихслучаях необходима проверка на уязвимости и безопасность • Методы проверок • OWASP классификация хакерских атак и уязвимостей ПО и как их избежать • Обзор инструментов тестирования • Примеры уязвимостей «из жизни» 2
  • 3.
    Когда необходимо проверить? • Банковский,страховой софт • Личные данные (медицина, семейное положение, и тп) • Соц.сети • Инновационные проекты • Государственная тайна • Коммерческая тайна • Продолжите список  3
  • 4.
    Как проверять? По ресурсам: 1.Внутренняя проверка – вручную, инструментами, автотестами 2. Привлеченные специалисты По обьему: 1. В зависимости от нужд клиента 2. В зависимости от специфики приложения 3. Атаки 4. Уязвимости 4
  • 5.
    QWASP классификация • A1Injection (Инъекции, к примеру SQL, CSS, JS) • A2 Cross Site Scripting (XSS межсайтовый скриптинг) • A3 Broken Authentication and Session Management (ошибки аутентификации) • A4 Insecure Direct Object References (незащищенные ресурсы и объекты) • A5 Cross Site Request Forgery (CSRF подделка межсайтовых запросов) • A6 Security Misconfiguration (небезопасная конфигурация окружения) • A7 Failure to Restrict URL Access (несанкционированный доступ) • A8 Unvalidated Redirects and Forwards (открытый редирект) • A9 Insecure Cryptographic Storage (небезопасное хранение данных) • A10 Insufficient Transport Layer Protection (недостаточная защита данных при их передаче) https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 5
  • 6.
    Чем проверять? • Плагины– InjectME • Инструменты – WebScarab • Здравый смысл и воображение 6
  • 7.