SlideShare a Scribd company logo

Security & penetration testing

Download as PPTX, PDF
G
GTestClub
1 of 7
Security & penetration. Let’s start Svetlana Yakovleva 04/24/2014 1
Agenda • В каких случаях необходима проверка на уязвимости и безопасность • Методы проверок • OWASP классификация хакерских атак и уязвимостей ПО и как их избежать • Обзор инструментов тестирования • Примеры уязвимостей «из жизни» 2
Когда необходимо проверить? • Банковский, страховой софт • Личные данные (медицина, семейное положение, и тп) • Соц.сети • Инновационные проекты • Государственная тайна • Коммерческая тайна • Продолжите список  3
Как проверять? По ресурсам: 1. Внутренняя проверка – вручную, инструментами, автотестами 2. Привлеченные специалисты По обьему: 1. В зависимости от нужд клиента 2. В зависимости от специфики приложения 3. Атаки 4. Уязвимости 4
QWASP классификация • A1 Injection (Инъекции, к примеру SQL, CSS, JS) • A2 Cross Site Scripting (XSS межсайтовый скриптинг) • A3 Broken Authentication and Session Management (ошибки аутентификации) • A4 Insecure Direct Object References (незащищенные ресурсы и объекты) • A5 Cross Site Request Forgery (CSRF подделка межсайтовых запросов) • A6 Security Misconfiguration (небезопасная конфигурация окружения) • A7 Failure to Restrict URL Access (несанкционированный доступ) • A8 Unvalidated Redirects and Forwards (открытый редирект) • A9 Insecure Cryptographic Storage (небезопасное хранение данных) • A10 Insufficient Transport Layer Protection (недостаточная защита данных при их передаче) https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 5
Чем проверять? • Плагины – InjectME • Инструменты – WebScarab • Здравый смысл и воображение 6
Контакты Мне можно написать svetlanaw@gmail.com Или написать Skype: svetayakovleva 7

Recommended

Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Dmitry Evteev
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Dmitry Evteev
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
SQALab
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
SQALab
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банковDmitry Evteev
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APT
Dmitry Evteev
 

Recommended

Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Dmitry Evteev
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Dmitry Evteev
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
SQALab
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
SQALab
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банковDmitry Evteev
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APT
Dmitry Evteev
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
SQALab
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. ОсновыPositive Hack Days
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008guest5b66888
 
Безопасность сессий в веб-приложениях
Безопасность сессий в веб-приложенияхБезопасность сессий в веб-приложениях
Безопасность сессий в веб-приложениях
Kateryna Ovechenko
 
Pt D Do S 20090527
Pt D Do S 20090527Pt D Do S 20090527
Pt D Do S 20090527
qqlan
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеровDmitry Evteev
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
Alexey Kachalin
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасности
SQALab
 
Исследование защищенности ИС
Исследование защищенности ИСИсследование защищенности ИС
Исследование защищенности ИСAlexey Kachalin
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
Uladzislau Murashka
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftDmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?Учебный центр "Эшелон"
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
Analitika web 2012_positive_technologies
Analitika web 2012_positive_technologiesAnalitika web 2012_positive_technologies
Analitika web 2012_positive_technologies
Комсс Файквэе
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификация
Mikhail Vanin
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
DialogueScience
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяем
SelectedPresentations
 
Serious+performance+testing
Serious+performance+testingSerious+performance+testing
Serious+performance+testingAlexei Lupan
 
Performance testing with apache JMeter
Performance testing with apache JMeterPerformance testing with apache JMeter
Performance testing with apache JMeterIvanLysenko
 

More Related Content

What's hot

Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
SQALab
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. ОсновыPositive Hack Days
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008guest5b66888
 
Безопасность сессий в веб-приложениях
Безопасность сессий в веб-приложенияхБезопасность сессий в веб-приложениях
Безопасность сессий в веб-приложениях
Kateryna Ovechenko
 
Pt D Do S 20090527
Pt D Do S 20090527Pt D Do S 20090527
Pt D Do S 20090527
qqlan
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеровDmitry Evteev
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
Alexey Kachalin
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасности
SQALab
 
Исследование защищенности ИС
Исследование защищенности ИСИсследование защищенности ИС
Исследование защищенности ИСAlexey Kachalin
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
Uladzislau Murashka
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftDmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?Учебный центр "Эшелон"
 
Analitika web 2012_positive_technologies
Analitika web 2012_positive_technologiesAnalitika web 2012_positive_technologies
Analitika web 2012_positive_technologies
Комсс Файквэе
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификация
Mikhail Vanin
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
DialogueScience
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяем
SelectedPresentations
 

What's hot (20)

Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
 
Безопасность сессий в веб-приложениях
Безопасность сессий в веб-приложенияхБезопасность сессий в веб-приложениях
Безопасность сессий в веб-приложениях
 
Pt D Do S 20090527
Pt D Do S 20090527Pt D Do S 20090527
Pt D Do S 20090527
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеров
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and selenium
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасности
 
Исследование защищенности ИС
Исследование защищенности ИСИсследование защищенности ИС
Исследование защищенности ИС
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
 
Analitika web 2012_positive_technologies
Analitika web 2012_positive_technologiesAnalitika web 2012_positive_technologies
Analitika web 2012_positive_technologies
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификация
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяем
 

Viewers also liked

Serious+performance+testing
Serious+performance+testingSerious+performance+testing
Serious+performance+testingAlexei Lupan
 
Performance testing with apache JMeter
Performance testing with apache JMeterPerformance testing with apache JMeter
Performance testing with apache JMeterIvanLysenko
 
Load testing of web applications
Load testing of web applicationsLoad testing of web applications
Load testing of web applications
MageCloud
 
Как оценить тестировщика
Как оценить тестировщикаКак оценить тестировщика
Как оценить тестировщика
SQALab
 
Нагрузочное тестирование
Нагрузочное тестированиеНагрузочное тестирование
Нагрузочное тестирование
SPB SQA Group
 
Creating Powerful Customer Experiences
Creating Powerful Customer ExperiencesCreating Powerful Customer Experiences
Creating Powerful Customer Experiences
Digital Surgeons
 
How to Craft Your Company's Storytelling Voice by Ann Handley of MarketingProfs
How to Craft Your Company's Storytelling Voice by Ann Handley of MarketingProfsHow to Craft Your Company's Storytelling Voice by Ann Handley of MarketingProfs
How to Craft Your Company's Storytelling Voice by Ann Handley of MarketingProfs
MarketingProfs
 
What REALLY Differentiates The Best Content Marketers From The Rest
What REALLY Differentiates The Best Content Marketers From The RestWhat REALLY Differentiates The Best Content Marketers From The Rest
What REALLY Differentiates The Best Content Marketers From The Rest
Ross Simmonds
 
20 Tweetable Quotes to Inspire Marketing & Design Creative Genius
20 Tweetable Quotes to Inspire Marketing & Design Creative Genius20 Tweetable Quotes to Inspire Marketing & Design Creative Genius
20 Tweetable Quotes to Inspire Marketing & Design Creative Genius
IMPACT Branding & Design LLC
 
2015 Travel Trends
2015 Travel Trends 2015 Travel Trends
2015 Travel Trends
Creative Lodging Solutions
 
40 Tools in 20 Minutes: Hacking your Marketing Career
40 Tools in 20 Minutes: Hacking your Marketing Career40 Tools in 20 Minutes: Hacking your Marketing Career
40 Tools in 20 Minutes: Hacking your Marketing Career
Eric Leist
 
Digital transformation in 50 soundbites
Digital transformation in 50 soundbitesDigital transformation in 50 soundbites
Digital transformation in 50 soundbites
Julie Dodd
 
Build a Better Entrepreneur Pitch Deck
Build a Better Entrepreneur Pitch DeckBuild a Better Entrepreneur Pitch Deck
Build a Better Entrepreneur Pitch Deck
Center For Entrepreneurial Innovation
 
Digital, Social & Mobile in 2015
Digital, Social & Mobile in 2015Digital, Social & Mobile in 2015
Digital, Social & Mobile in 2015
We Are Social Singapore
 
Eco-nomics, The hidden costs of consumption
Eco-nomics, The hidden costs of consumptionEco-nomics, The hidden costs of consumption
Eco-nomics, The hidden costs of consumption
Josh Beatty
 
6 Snapchat Hacks Too Easy To Ignore
6 Snapchat Hacks Too Easy To Ignore6 Snapchat Hacks Too Easy To Ignore
6 Snapchat Hacks Too Easy To IgnoreGary Vaynerchuk
 
All About Beer
All About Beer All About Beer
All About Beer
Ethos3
 
Healthcare Napkins All
Healthcare Napkins AllHealthcare Napkins All
Healthcare Napkins All
Dan Roam
 
SMOKE - The Convenient Truth [1st place Worlds Best Presentation Contest] by ...
SMOKE - The Convenient Truth [1st place Worlds Best Presentation Contest] by ...SMOKE - The Convenient Truth [1st place Worlds Best Presentation Contest] by ...
SMOKE - The Convenient Truth [1st place Worlds Best Presentation Contest] by ...
Empowered Presentations
 
Pixar's 22 Rules to Phenomenal Storytelling
Pixar's 22 Rules to Phenomenal StorytellingPixar's 22 Rules to Phenomenal Storytelling
Pixar's 22 Rules to Phenomenal Storytelling
Gavin McMahon
 

Viewers also liked (20)

Serious+performance+testing
Serious+performance+testingSerious+performance+testing
Serious+performance+testing
 
Performance testing with apache JMeter
Performance testing with apache JMeterPerformance testing with apache JMeter
Performance testing with apache JMeter
 
Load testing of web applications
Load testing of web applicationsLoad testing of web applications
Load testing of web applications
 
Как оценить тестировщика
Как оценить тестировщикаКак оценить тестировщика
Как оценить тестировщика
 
Нагрузочное тестирование
Нагрузочное тестированиеНагрузочное тестирование
Нагрузочное тестирование
 
Creating Powerful Customer Experiences
Creating Powerful Customer ExperiencesCreating Powerful Customer Experiences
Creating Powerful Customer Experiences
 
How to Craft Your Company's Storytelling Voice by Ann Handley of MarketingProfs
How to Craft Your Company's Storytelling Voice by Ann Handley of MarketingProfsHow to Craft Your Company's Storytelling Voice by Ann Handley of MarketingProfs
How to Craft Your Company's Storytelling Voice by Ann Handley of MarketingProfs
 
What REALLY Differentiates The Best Content Marketers From The Rest
What REALLY Differentiates The Best Content Marketers From The RestWhat REALLY Differentiates The Best Content Marketers From The Rest
What REALLY Differentiates The Best Content Marketers From The Rest
 
20 Tweetable Quotes to Inspire Marketing & Design Creative Genius
20 Tweetable Quotes to Inspire Marketing & Design Creative Genius20 Tweetable Quotes to Inspire Marketing & Design Creative Genius
20 Tweetable Quotes to Inspire Marketing & Design Creative Genius
 
2015 Travel Trends
2015 Travel Trends 2015 Travel Trends
2015 Travel Trends
 
40 Tools in 20 Minutes: Hacking your Marketing Career
40 Tools in 20 Minutes: Hacking your Marketing Career40 Tools in 20 Minutes: Hacking your Marketing Career
40 Tools in 20 Minutes: Hacking your Marketing Career
 
Digital transformation in 50 soundbites
Digital transformation in 50 soundbitesDigital transformation in 50 soundbites
Digital transformation in 50 soundbites
 
Build a Better Entrepreneur Pitch Deck
Build a Better Entrepreneur Pitch DeckBuild a Better Entrepreneur Pitch Deck
Build a Better Entrepreneur Pitch Deck
 
Digital, Social & Mobile in 2015
Digital, Social & Mobile in 2015Digital, Social & Mobile in 2015
Digital, Social & Mobile in 2015
 
Eco-nomics, The hidden costs of consumption
Eco-nomics, The hidden costs of consumptionEco-nomics, The hidden costs of consumption
Eco-nomics, The hidden costs of consumption
 
6 Snapchat Hacks Too Easy To Ignore
6 Snapchat Hacks Too Easy To Ignore6 Snapchat Hacks Too Easy To Ignore
6 Snapchat Hacks Too Easy To Ignore
 
All About Beer
All About Beer All About Beer
All About Beer
 
Healthcare Napkins All
Healthcare Napkins AllHealthcare Napkins All
Healthcare Napkins All
 
SMOKE - The Convenient Truth [1st place Worlds Best Presentation Contest] by ...
SMOKE - The Convenient Truth [1st place Worlds Best Presentation Contest] by ...SMOKE - The Convenient Truth [1st place Worlds Best Presentation Contest] by ...
SMOKE - The Convenient Truth [1st place Worlds Best Presentation Contest] by ...
 
Pixar's 22 Rules to Phenomenal Storytelling
Pixar's 22 Rules to Phenomenal StorytellingPixar's 22 Rules to Phenomenal Storytelling
Pixar's 22 Rules to Phenomenal Storytelling
 

Similar to Security & penetration testing

Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложений
beched
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
Компания УЦСБ
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?
Sergey Soldatov
 
очир абушинов
очир абушиновочир абушинов
очир абушиновAlexei Lupan
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
Alexey Kachalin
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности UISGCON
 
Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2rit2010
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
Expolink
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
Aleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Expolink
 
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
Expolink
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 

Similar to Security & penetration testing (20)

Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложений
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?
 
очир абушинов
очир абушиновочир абушинов
очир абушинов
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
 
Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Audit intro
Audit introAudit intro
Audit intro
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
 
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 

Security & penetration testing

  • 2. Agenda • В каких случаях необходима проверка на уязвимости и безопасность • Методы проверок • OWASP классификация хакерских атак и уязвимостей ПО и как их избежать • Обзор инструментов тестирования • Примеры уязвимостей «из жизни» 2
  • 3. Когда необходимо проверить? • Банковский, страховой софт • Личные данные (медицина, семейное положение, и тп) • Соц.сети • Инновационные проекты • Государственная тайна • Коммерческая тайна • Продолжите список  3
  • 4. Как проверять? По ресурсам: 1. Внутренняя проверка – вручную, инструментами, автотестами 2. Привлеченные специалисты По обьему: 1. В зависимости от нужд клиента 2. В зависимости от специфики приложения 3. Атаки 4. Уязвимости 4
  • 5. QWASP классификация • A1 Injection (Инъекции, к примеру SQL, CSS, JS) • A2 Cross Site Scripting (XSS межсайтовый скриптинг) • A3 Broken Authentication and Session Management (ошибки аутентификации) • A4 Insecure Direct Object References (незащищенные ресурсы и объекты) • A5 Cross Site Request Forgery (CSRF подделка межсайтовых запросов) • A6 Security Misconfiguration (небезопасная конфигурация окружения) • A7 Failure to Restrict URL Access (несанкционированный доступ) • A8 Unvalidated Redirects and Forwards (открытый редирект) • A9 Insecure Cryptographic Storage (небезопасное хранение данных) • A10 Insufficient Transport Layer Protection (недостаточная защита данных при их передаче) https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 5
  • 6. Чем проверять? • Плагины – InjectME • Инструменты – WebScarab • Здравый смысл и воображение 6