Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс

11,640 views

Published on

Тарас Иващенко, Яндекс

Администратор информационной безопасности в Яндексе. Специалист по информационной безопасности, проповедник свободного программного обеспечения, автор Termite, xCobra и участник проекта W3AF.

Тема доклада
Сканирование уязвимостей со вкусом Яндекса.

Тезисы
В докладе будет рассказано о внедрении в Яндексе сканирования сервисов на уязвимости как одного из контроля безопасности в рамках SDLC (Secure Development Life Cycle). Речь пойдет о сканировании уязвимостей на этапе тестирования сервисов, а также о сканировании сервисов, находящихся в промышленной эксплуатации. Мы рассмотрим проблемы, с которыми столкнулись, и объясним, почему в качестве основного механизма решили выбрать открытое программное обеспечение (сканер уязвимостей w3af), доработанное под наши нужды.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
11,640
On SlideShare
0
From Embeds
0
Number of Embeds
10,282
Actions
Shares
0
Downloads
19
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс

  1. 1. Сканирование со вкусом Яндекса Докладчик: Тарас Иващенко oxdef@yandex-team.ruМероприятие: YaC, Москва, 19 сентября 2011 года
  2. 2. План• Цикл разработки ПО• Безопасность конфигураций• Сканирование на уязвимости• Проблемы и решения• Happy end?
  3. 3. Особенности и реалии
  4. 4. Цикл разработки ПО
  5. 5. Цикл разработки ПО
  6. 6. Безопасность конфигурацийOWASP Top 10 > SecurityMisconfiguration• /Makefile, /CVS/Entries и т.п.• Устаревшие версии ПО• Отладочная информация• Доступные специнтерфейсы
  7. 7. Безопасность конфигурацийРешение• Регулярное сканирование всего: nmap + w3af + pykto• Более тысячи целей• Автоматическое оповещение ответственных администраторов• Доработки вернули в проект w3af• Profit!!11
  8. 8. Свободное ПО и Яндекс
  9. 9. Сканирование на уязвимостиТекущий подход• Наши тестировщики "умеют" ещё и безопасность• Регулярные сканирования перед релизами• Охват всех сервисов
  10. 10. Сканирование на уязвимостиТекущее решение• Проприетарное• Одно из самых мощных• Слабо поддаётся интеграции в инфраструктуру компании• "Мелочи", которые портят всё: ЧПУ, AJAX, платформозависимость ;(• Цена
  11. 11. Сканирование на уязвимости
  12. 12. Сканирование на уязвимостиw3af• Фреймворк для аудита безопасности веб-приложений• GNU GPL v2, Python (и "батарейки")• Возможность расширения: сотни плагинов• Мы не будем писать проект "с нуля"!• Международный проект со своим сообществом
  13. 13. Сканирование на уязвимостиНаши доработки• Полноценный веб-интерфейс• Пользователи• ЧПУ• Удобная аутентификация в сервисах• Тестируем веб 2.0 приложения
  14. 14. w3afВеб-интерфейс• Django• Многопользовательский режим• Планирование сканирований• Интеграция с внутренними сервисами• Статистика
  15. 15. w3afВеб-интерфейс
  16. 16. w3af ЧПУ• http://fotki.yandex.ru/top/users/fotograf-17/view/361364/ • Набор правил: /top/users/%s/view/%d/ /controller/action/%d/ ...
  17. 17. w3afУдобная аутентификация всервисах• Существующие подходы ("запись логина")• Auth-плагины: ; @include Pentest_Profile [auth.yandex] username = test_user password = ************** passport_host = passport.yandex.ru
  18. 18. Веб 1.0 -> 2.0Классический сканер c веб 2.0 работает плохо!
  19. 19. Веб 2.0Как сканироватьавтоматизированно?• Встроенный веб-браузер с JavaScript-движком• Selenium• Парсинг и подмешивание логов• ..?
  20. 20. Присоединяйся!У нас есть печеньки!...
  21. 21. Спасибо за внимание!Тарас Иващенко oxdef@yandex-team.ru

×