yaevents, profile picture
Uploaded byyaevents
2,474 views

Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс

Доклад Тараса Иващенко на мероприятии YAC в Москве 19 сентября 2011 года освещает подходы сканирования уязвимостей и безопасности конфигураций в разработке. Он включает обсуждение инструментов, таких как w3af, и подчеркивает важность регулярного сканирования перед релизами для обеспечения безопасности веб-приложений. Доклад также рассматривает интеграцию в инфраструктуру компании и вызовы, связанные с автоматизацией сканирований.

Embed presentation

Downloaded 19 times
Сканирование со вкусом Яндекса Докладчик: Тарас Иващенко oxdef@yandex-team.ru Мероприятие: YaC, Москва, 19 сентября 2011 года
План • Цикл разработки ПО • Безопасность конфигураций • Сканирование на уязвимости • Проблемы и решения • Happy end?
Особенности и реалии
Цикл разработки ПО
Цикл разработки ПО
Безопасность конфигураций OWASP Top 10 > Security Misconfiguration • /Makefile, /CVS/Entries и т.п. • Устаревшие версии ПО • Отладочная информация • Доступные специнтерфейсы
Безопасность конфигураций Решение • Регулярное сканирование всего: nmap + w3af + pykto • Более тысячи целей • Автоматическое оповещение ответственных администраторов • Доработки вернули в проект w3af • Profit!!11
Свободное ПО и Яндекс
Сканирование на уязвимости Текущий подход • Наши тестировщики "умеют" ещё и безопасность • Регулярные сканирования перед релизами • Охват всех сервисов
Сканирование на уязвимости Текущее решение • Проприетарное • Одно из самых мощных • Слабо поддаётся интеграции в инфраструктуру компании • "Мелочи", которые портят всё: ЧПУ, AJAX, платформозависимость ;( • Цена
Сканирование на уязвимости
Сканирование на уязвимости w3af • Фреймворк для аудита безопасности веб-приложений • GNU GPL v2, Python (и "батарейки") • Возможность расширения: сотни плагинов • Мы не будем писать проект "с нуля"! • Международный проект со своим сообществом
Сканирование на уязвимости Наши доработки • Полноценный веб-интерфейс • Пользователи • ЧПУ • Удобная аутентификация в сервисах • Тестируем веб 2.0 приложения
w3af Веб-интерфейс • Django • Многопользовательский режим • Планирование сканирований • Интеграция с внутренними сервисами • Статистика
w3af Веб-интерфейс
w3af ЧПУ • http://fotki.yandex.ru/top/users/fotograf-17/view/361364/ • Набор правил: /top/users/%s/view/%d/ /controller/action/%d/ ...
w3af Удобная аутентификация в сервисах • Существующие подходы ("запись логина") • Auth-плагины: ; @include Pentest_Profile [auth.yandex] username = test_user password = ************** passport_host = passport.yandex.ru
Веб 1.0 -> 2.0 Классический сканер c веб 2.0 работает плохо!
Веб 2.0 Как сканировать автоматизированно? • Встроенный веб-браузер с JavaScript-движком • Selenium • Парсинг и подмешивание логов • ..?
Присоединяйся! У нас есть печеньки!...
Спасибо за внимание! Тарас Иващенко oxdef@yandex-team.ru

More Related Content

ODP
Security zap and selenium
byAnton Shapin
 
PDF
Эвристические методы защиты приложений
byPositive Hack Days
 
PDF
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
byOWASP Russia
 
PPTX
Опыт организации тестирования безопасности Web приложений в компании
bySQALab
 
PPT
Fuzzing - автоматическое тестирование безопасности
bySQALab
 
PDF
[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко
byOWASP Russia
 
PDF
очир абушинов
byAlexei Lupan
 
PDF
Виртуальные среды тестирования (ADD2010)
byDmitry Lobasev
 
Security zap and selenium
byAnton Shapin
 
Эвристические методы защиты приложений
byPositive Hack Days
 
[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...
byOWASP Russia
 
Опыт организации тестирования безопасности Web приложений в компании
bySQALab
 
Fuzzing - автоматическое тестирование безопасности
bySQALab
 
[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко
byOWASP Russia
 
очир абушинов
byAlexei Lupan
 
Виртуальные среды тестирования (ADD2010)
byDmitry Lobasev
 

What's hot

PPTX
Автоматизация построения правил для Approof
byPositive Hack Days
 
PDF
Как Cluster Membership Software может помочь QA
bySQALab
 
PPTX
Waf.js: как защищать веб-приложения с использованием JavaScript
byPositive Hack Days
 
PPTX
Python tools for web development (Python meetup Almaty #ALAPY)
byaviatakz
 
PDF
Python Development process in Yandex
byaviatakz
 
ODP
Автоматизированное тестирование - от сложного к простому, или Запускаем автот...
bySQALab
 
PPTX
Система мониторинга Zabbix в процессах разработки и тестирования | Алексей Буров
byPositive Hack Days
 
PPTX
Автоматизация тестирования приёмников цифрового телевидения
bySQALab
 
PPT
SQADAYS 21 Москва 2017
byAdam Sandman
 
PPTX
Воркшоп по анализ защищённости веб-приложений
bybeched
 
PDF
Continuous integration
byGrigoriy Ostrovskiy
 
PPTX
Threads & LinkedClone. Как сократить время на развертывание продукта и подгот...
bySQALab
 
PPTX
vSphereTools - инструмент для автоматизации работы с vSphere | Тимур Гильмуллин
byPositive Hack Days
 
PPTX
Пост-эксплуатация веб-приложений в тестах на проникновение
bybeched
 
PPT
Инструментация среды исполнения в арсенале тестировщика
bySQALab
 
PDF
CodeFest 2012 - Пентест на стероидах
bySergey Belov
 
PPT
Ломаем (и строим) вместе
byDmitry Evteev
 
PDF
Вадим Козлов, Илья Казначеев - Selenium через SAP
byIlya Kaznacheev
 
PPTX
Cистемы автоматической сборки проектов (Полина Фоминых)
byКафедра высокопроизводительных компьютерных технологий ИМКН УрФУ
 
PPTX
Seamy side of autotests
byAnton Stepanenko
 
Автоматизация построения правил для Approof
byPositive Hack Days
 
Как Cluster Membership Software может помочь QA
bySQALab
 
Waf.js: как защищать веб-приложения с использованием JavaScript
byPositive Hack Days
 
Python tools for web development (Python meetup Almaty #ALAPY)
byaviatakz
 
Python Development process in Yandex
byaviatakz
 
Автоматизированное тестирование - от сложного к простому, или Запускаем автот...
bySQALab
 
Система мониторинга Zabbix в процессах разработки и тестирования | Алексей Буров
byPositive Hack Days
 
Автоматизация тестирования приёмников цифрового телевидения
bySQALab
 
SQADAYS 21 Москва 2017
byAdam Sandman
 
Воркшоп по анализ защищённости веб-приложений
bybeched
 
Continuous integration
byGrigoriy Ostrovskiy
 
Threads & LinkedClone. Как сократить время на развертывание продукта и подгот...
bySQALab
 
vSphereTools - инструмент для автоматизации работы с vSphere | Тимур Гильмуллин
byPositive Hack Days
 
Пост-эксплуатация веб-приложений в тестах на проникновение
bybeched
 
Инструментация среды исполнения в арсенале тестировщика
bySQALab
 
CodeFest 2012 - Пентест на стероидах
bySergey Belov
 
Ломаем (и строим) вместе
byDmitry Evteev
 
Вадим Козлов, Илья Казначеев - Selenium через SAP
byIlya Kaznacheev
 
Cистемы автоматической сборки проектов (Полина Фоминых)
byКафедра высокопроизводительных компьютерных технологий ИМКН УрФУ
 
Seamy side of autotests
byAnton Stepanenko
 

Viewers also liked

PDF
Контроль зверей: инструменты для управления и мониторинга распределенных сист...
byyaevents
 
PPT
Масштабируемость Hadoop в Facebook. Дмитрий Мольков, Facebook
byyaevents
 
PPTX
автоматизируем пентест Wifi сети
byOlesya Shelestova
 
PPTX
Кое-что о Wi-Fi (Денис Жевнер)
byIT Club Mykolayiv
 
PPTX
Роман Романов, Константин Левин. Pentest Lab: опыт создания.
byPositive Hack Days
 
PPTX
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
byCodeFest
 
PPT
Penetration testing (AS IS)
byDmitry Evteev
 
PPT
Pentest requirements
byGlib Pakharenko
 
PDF
Mobile Device Security
byqqlan
 
PDF
Alexey Sintsov - Where do the money lie
byDefconRussia
 
PDF
Поисковая технология "Спектр". Андрей Плахов, Яндекс
byyaevents
 
PDF
C++11 (formerly known as C++0x) is the new C++ language standard. Dave Abraha...
byyaevents
 
PPTX
Сложнейшие техники, применяемые буткитами и полиморфными вирусами. Вячеслав З...
byyaevents
 
PDF
В поисках математики. Михаил Денисенко, Нигма
byyaevents
 
PPTX
Что общего у CTF и тестов на проникновение?
bybeched
 
PDF
Kaspersky SAS SCADA in the Cloud
byqqlan
 
PPTX
Avoid the Hack
byJason Jakus
 
PPTX
Web security
bySync.NET
 
PPTX
Database honeypot by design
byqqlan
 
PPT
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
byDefcon Moscow
 
Контроль зверей: инструменты для управления и мониторинга распределенных сист...
byyaevents
 
Масштабируемость Hadoop в Facebook. Дмитрий Мольков, Facebook
byyaevents
 
автоматизируем пентест Wifi сети
byOlesya Shelestova
 
Кое-что о Wi-Fi (Денис Жевнер)
byIT Club Mykolayiv
 
Роман Романов, Константин Левин. Pentest Lab: опыт создания.
byPositive Hack Days
 
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
byCodeFest
 
Penetration testing (AS IS)
byDmitry Evteev
 
Pentest requirements
byGlib Pakharenko
 
Mobile Device Security
byqqlan
 
Alexey Sintsov - Where do the money lie
byDefconRussia
 
Поисковая технология "Спектр". Андрей Плахов, Яндекс
byyaevents
 
C++11 (formerly known as C++0x) is the new C++ language standard. Dave Abraha...
byyaevents
 
Сложнейшие техники, применяемые буткитами и полиморфными вирусами. Вячеслав З...
byyaevents
 
В поисках математики. Михаил Денисенко, Нигма
byyaevents
 
Что общего у CTF и тестов на проникновение?
bybeched
 
Kaspersky SAS SCADA in the Cloud
byqqlan
 
Avoid the Hack
byJason Jakus
 
Web security
bySync.NET
 
Database honeypot by design
byqqlan
 
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
byDefcon Moscow
 

Similar to Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс

PDF
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
byKazHackStan
 
PPTX
BlackBox testing
bybeched
 
PPT
Sergey Gordeychik SQADays 2008
byguest5b66888
 
PPT
Оценка защищенности Web-приложений
bySQALab
 
PPT
Развитие систем анализа защищенности. Взгляд в будущее!
byDmitry Evteev
 
PDF
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
byYandex
 
PDF
11 лекция, петр волков
bykarina krew
 
PPTX
Эшелонированная оборона 2012
byAlexander Dorofeev
 
PDF
Безопасность сайта: мифы и реальность — Петр Волков
byYandex
 
PDF
Алексей Захаров "Архитектура Яндекс.Фоток"
byYandex
 
PDF
Техники пентеста для активной защиты - Николай Овчарук
byHackIT Ukraine
 
PDF
Risspa domxss
byyaevents
 
PPTX
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
byrevisium
 
PDF
Разработка RESTful api with all bells and whistles
byYandex
 
PDF
Роман Акинфеев «Разработка RESTful API with all bells and whistles»
byDevDay
 
PPT
Введение в тему безопасности веб-приложений
byDmitry Evteev
 
PPTX
Blackbox-тестирование веб-приложений
bybeched
 
PPT
Анализ защищенности интернет-проектов
byDmitry Evteev
 
PDF
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
byBadoo Development
 
PPTX
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
byKazHackStan
 
BlackBox testing
bybeched
 
Sergey Gordeychik SQADays 2008
byguest5b66888
 
Оценка защищенности Web-приложений
bySQALab
 
Развитие систем анализа защищенности. Взгляд в будущее!
byDmitry Evteev
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
byYandex
 
11 лекция, петр волков
bykarina krew
 
Эшелонированная оборона 2012
byAlexander Dorofeev
 
Безопасность сайта: мифы и реальность — Петр Волков
byYandex
 
Алексей Захаров "Архитектура Яндекс.Фоток"
byYandex
 
Техники пентеста для активной защиты - Николай Овчарук
byHackIT Ukraine
 
Risspa domxss
byyaevents
 
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
byrevisium
 
Разработка RESTful api with all bells and whistles
byYandex
 
Роман Акинфеев «Разработка RESTful API with all bells and whistles»
byDevDay
 
Введение в тему безопасности веб-приложений
byDmitry Evteev
 
Blackbox-тестирование веб-приложений
bybeched
 
Анализ защищенности интернет-проектов
byDmitry Evteev
 
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
byBadoo Development
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 

More from yaevents

PDF
Как научить роботов тестировать веб-интерфейсы. Артем Ерошенко, Илья Кацев, Я...
byyaevents
 
PDF
Тема для WordPress в БЭМ. Владимир Гриненко, Яндекс
byyaevents
 
PDF
Построение сложносоставных блоков в шаблонизаторе bemhtml. Сергей Бережной, Я...
byyaevents
 
PDF
i-bem.js: JavaScript в БЭМ-терминах. Елена Глухова, Варвара Степанова, Яндекс
byyaevents
 
PDF
Дом из готовых кирпичей. Библиотека блоков, тюнинг, инструменты. Елена Глухов...
byyaevents
 
PDF
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...
byyaevents
 
ODP
Администрирование небольших сервисов или один за всех и 100 на одного. Роман ...
byyaevents
 
PDF
Мониторинг со всех сторон. Алексей Симаков, Яндекс
byyaevents
 
PDF
Истории про разработку сайтов. Сергей Бережной, Яндекс
byyaevents
 
PDF
Разработка приложений для Android на С++. Юрий Береза, Shturmann
byyaevents
 
PPTX
Кросс-платформенная разработка под мобильные устройства. Дмитрий Жестилевский...
byyaevents
 
PPT
Юнит-тестирование и Google Mock. Влад Лосев, Google
byyaevents
 
PDF
Зачем обычному программисту знать языки, на которых почти никто не пишет. Але...
byyaevents
 
PPTX
Using classifiers to compute similarities between face images. Prof. Lior Wol...
byyaevents
 
PDF
Julia Stoyanovich - Making interval-based clustering rank-aware
byyaevents
 
PDF
Mike Thelwall - Sentiment strength detection for the social web: From YouTube...
byyaevents
 
PDF
Evangelos Kanoulas — Advances in Information Retrieval Evaluation
byyaevents
 
PDF
Ben Carterett — Advances in Information Retrieval Evaluation
byyaevents
 
PDF
Raffaele Perego "Efficient Query Suggestions in the Long Tail"
byyaevents
 
PDF
"Efficient Diversification of Web Search Results"
byyaevents
 
Как научить роботов тестировать веб-интерфейсы. Артем Ерошенко, Илья Кацев, Я...
byyaevents
 
Тема для WordPress в БЭМ. Владимир Гриненко, Яндекс
byyaevents
 
Построение сложносоставных блоков в шаблонизаторе bemhtml. Сергей Бережной, Я...
byyaevents
 
i-bem.js: JavaScript в БЭМ-терминах. Елена Глухова, Варвара Степанова, Яндекс
byyaevents
 
Дом из готовых кирпичей. Библиотека блоков, тюнинг, инструменты. Елена Глухов...
byyaevents
 
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...
byyaevents
 
Администрирование небольших сервисов или один за всех и 100 на одного. Роман ...
byyaevents
 
Мониторинг со всех сторон. Алексей Симаков, Яндекс
byyaevents
 
Истории про разработку сайтов. Сергей Бережной, Яндекс
byyaevents
 
Разработка приложений для Android на С++. Юрий Береза, Shturmann
byyaevents
 
Кросс-платформенная разработка под мобильные устройства. Дмитрий Жестилевский...
byyaevents
 
Юнит-тестирование и Google Mock. Влад Лосев, Google
byyaevents
 
Зачем обычному программисту знать языки, на которых почти никто не пишет. Але...
byyaevents
 
Using classifiers to compute similarities between face images. Prof. Lior Wol...
byyaevents
 
Julia Stoyanovich - Making interval-based clustering rank-aware
byyaevents
 
Mike Thelwall - Sentiment strength detection for the social web: From YouTube...
byyaevents
 
Evangelos Kanoulas — Advances in Information Retrieval Evaluation
byyaevents
 
Ben Carterett — Advances in Information Retrieval Evaluation
byyaevents
 
Raffaele Perego "Efficient Query Suggestions in the Long Tail"
byyaevents
 
"Efficient Diversification of Web Search Results"
byyaevents
 

Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс