narzędzia do zautomatyzowanego testowania bezpieczeństwa...

Narzędzia do zautomatyzowanego

testowania bezpieczeństwa aplikacji WWW

Borys Łącki

2016.02.20

● Testy penetracyjne● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne

Borys Łącki> 10 lat - testy bezpieczeństwa i edukacja

www.bothunters.pl ~ 8 lat blogowania o cyberprzestępcach

Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)

Testy bezpieczeństwa

Szukanie podatności (defektów)

Test penetracyjny – „proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.”

Wikipedia

Niezamówiony test penetracyjny

Kodeks Karny

Przestępstwa przeciwko ochronie informacji

(…) podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Kodeks Karny, Przestępstwa przeciwko ochronie informacji

Testy bezpieczeństwa

Przychodzi tester do baru i zamawia drinka. Zamawia 10 drinków.

Zamawia 99999999999 drinków. Odchodzi od baru, podchodzi ponownie, odchodzi od baru podchodzi ponownie, zamawia

-8 drinków.

Zamawia szynę kolejową.

Czy:

● istnieje sposób na kradzież informacji z bazy danych?

● aplikacja może zaatakować użytkownika?

● możemy wykonać określoną akcję jako inny użytkownik (np. admin)?

● można zablokować/unieruchomić aplikację?

● podsłuchując transmisję możemy wykraść dane uwierzytelniające? (hasło?)

Incydent bezpieczeństwa

Wiedza

The Open Web Application Security Project (OWASP) is a worldwide not-for-profit charitable organization focused on improving the security of software.

HTTPS://WWW.OWASP.ORG

Automat vs. Manual

● Koszt● Czas● Jakość

Testy manualneTesty zautomatyzowane

Automat vs. Manual

MANUAL

AUTOMAT

MANUAL

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

Oprogramowanie● $$$

Acunetix, Burp Suite, IBM AppScan, Netsparker, N-Stalker Enterprise, NTOSpider, Syhunt Dynamic, WebCruiser, WebInspect (…)

● free/open source

arachni, IronWASP, Netsparker Community Edition, N-Stalker Free Edition, Skipfish, Syhunt Mini, VEGA, W3AF, Wapiti, WATOBO, XSSer, Zed Attack Proxy (ZAP), (...)

Price and Feature Comparison of Web Application Scanners:http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.htmlhttp://www.gallop.net/pdf/white-papers/Security-Testing-WhitePaper.pdf

Wybór skanera● GUI, konsola, OS● Technologia, atak, rodzaj testów● Zapisywanie pracy (logi)● API (automatyzacja, rozbudowa, wtyczki, własne

słowniki)● Raporty (retest podatności)● Konfiguracja (rodzaje testów, wielowątkowość)● Dokumentacja● Stabilność● Obsługa sesji● Import (URL, inne skanery)

Arachni

Arachni

Arachni

Arachni

w3af

w3af

XSSer

SQLmap

OWASP DirBuster

WPScan

WPScan

1. Konfiguracja

Problemy

● Obsługa sesji (zalogowany/wylogowany)● Tokeny CSRF● „Testy wydajnościowe”● Wybór ataków● Aktualizacja ataków

2. Spider / Crawler

Problemy

● REST● Flash, Silverlight, (...)● JavaScript● Ograniczone pokrycie● Pętla

3. Aktywne skanowanie

3. Aktywne skanowanie

3. Aktywne skanowanie

Problemy

● Obsługa sesji - monitoring● Błędy logiczne/biznesowe● Akcje złożone z wielu etapów

4. Raport

Problemy

● Opis podatności● Retest podatności● Eksport danych● Wiedza● False positives

The web application under test seems to be in a shared hosting. This list of domains, and the domain of the web application under test, all point to the same IP address:

www.microsoft.com

SSL LABS

Podsumowanie

● Zdobyć podstawową wiedzę● Dobrać narzędzie do potrzeb● Zadbać o optymalną konfigurację● Weryfikować w trakcie pracy● Opisać defekty/podatności :)

● Manual > Automat

WWWhttps://zaufanatrzeciastrona.pl/

http://sekurak.pl/

https://niebezpiecznik.pl/

https://www.owasp.org

https://www.ssllabs.com/ssltest/

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

http://www.arachni-scanner.com/

http://sqlmap.org/

http://wpscan.org/

http://xsser.03c8.net/

https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project

http://w3af.org/

http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.htmlhttp://www.gallop.net/pdf/white-papers/Security-Testing-WhitePaper.pdf

Dziękuję za uwagę

Pytania?

Borys Łącki

b.lacki@logicaltrust.net