Сканирование уязвимостей со вкусом Яндекса. Тарас...
Post on 11-Nov-2014
11.510 Views
Preview:
DESCRIPTION
TRANSCRIPT
Сканирование со вкусомЯндекса
Докладчик: Тарас Иващенко oxdef@yandex-team.ruМероприятие: YaC, Москва, 19 сентября 2011 года
План• Цикл разработки ПО• Безопасность конфигураций• Сканирование на уязвимости• Проблемы и решения• Happy end?
Особенности и реалии
Цикл разработки ПО
Цикл разработки ПО
Безопасность конфигурацийOWASP Top 10 > SecurityMisconfiguration• /Makefile, /CVS/Entries и т.п.• Устаревшие версии ПО• Отладочная информация• Доступные специнтерфейсы
Безопасность конфигурацийРешение• Регулярное сканирование всего: nmap + w3af + pykto• Более тысячи целей• Автоматическое оповещение ответственных
администраторов• Доработки вернули в проект w3af• Profit!!11
Свободное ПО и Яндекс
Сканирование на уязвимостиТекущий подход• Наши тестировщики "умеют" ещё и безопасность• Регулярные сканирования перед релизами• Охват всех сервисов
Сканирование на уязвимостиТекущее решение• Проприетарное• Одно из самых мощных• Слабо поддаётся интеграции в инфраструктуру
компании• "Мелочи", которые портят всё: ЧПУ, AJAX,
платформозависимость ;(• Цена
Сканирование на уязвимости
Сканирование на уязвимостиw3af• Фреймворк для аудита безопасности веб-приложений• GNU GPL v2, Python (и "батарейки")• Возможность расширения: сотни плагинов• Мы не будем писать проект "с нуля"!• Международный проект со своим сообществом
Сканирование на уязвимостиНаши доработки• Полноценный веб-интерфейс• Пользователи• ЧПУ• Удобная аутентификация в сервисах• Тестируем веб 2.0 приложения
w3afВеб-интерфейс• Django• Многопользовательский режим• Планирование сканирований• Интеграция с внутренними сервисами• Статистика
w3afВеб-интерфейс
w3afЧПУ
•http://fotki.yandex.ru/top/users/fotograf-17/view/361364/• Набор правил:
/top/users/%s/view/%d//controller/action/%d/...
w3afУдобная аутентификация всервисах• Существующие подходы ("запись логина")• Auth-плагины:
; @include Pentest_Profile[auth.yandex]username = test_userpassword = **************passport_host = passport.yandex.ru
Веб 1.0 -> 2.0Классический сканер c веб 2.0 работает плохо!
Веб 2.0Как сканироватьавтоматизированно?• Встроенный веб-браузер с JavaScript-движком• Selenium• Парсинг и подмешивание логов• ..?
Присоединяйся!У нас есть печеньки!...
top related