Upload File

narzędzia do zautomatyzowanego testowania bezpieczeństwa...

  • Home
  • Documents
  • Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,
37
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW Borys Łącki 2016.02.20

Upload: others

Post on 11-Aug-2020

2 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Narzędzia do zautomatyzowanego

testowania bezpieczeństwa aplikacji WWW

Borys Łącki

2016.02.20

Page 2: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

● Testy penetracyjne● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne

Borys Łącki> 10 lat - testy bezpieczeństwa i edukacja

www.bothunters.pl ~ 8 lat blogowania o cyberprzestępcach

Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)

http://www.bothunters.pl/
Page 3: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Testy bezpieczeństwa

Szukanie podatności (defektów)

Test penetracyjny – „proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.”

Wikipedia

Page 4: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Niezamówiony test penetracyjny

Kodeks Karny

Przestępstwa przeciwko ochronie informacji

(…) podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Kodeks Karny, Przestępstwa przeciwko ochronie informacji

Page 5: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Testy bezpieczeństwa

Przychodzi tester do baru i zamawia drinka. Zamawia 10 drinków.

Zamawia 99999999999 drinków. Odchodzi od baru, podchodzi ponownie, odchodzi od baru podchodzi ponownie, zamawia

-8 drinków.

Zamawia szynę kolejową.

Czy:

● istnieje sposób na kradzież informacji z bazy danych?

● aplikacja może zaatakować użytkownika?

● możemy wykonać określoną akcję jako inny użytkownik (np. admin)?

● można zablokować/unieruchomić aplikację?

● podsłuchując transmisję możemy wykraść dane uwierzytelniające? (hasło?)

Page 6: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Incydent bezpieczeństwa

Page 7: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Wiedza

The Open Web Application Security Project (OWASP) is a worldwide not-for-profit charitable organization focused on improving the security of software.

HTTPS://WWW.OWASP.ORG

https://WWW.OWASP.ORG/
Page 8: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Automat vs. Manual

● Koszt● Czas● Jakość

Testy manualneTesty zautomatyzowane

Page 9: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Automat vs. Manual

MANUAL

AUTOMAT

MANUAL

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

AUTOMAT

Page 10: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Oprogramowanie● $$$

Acunetix, Burp Suite, IBM AppScan, Netsparker, N-Stalker Enterprise, NTOSpider, Syhunt Dynamic, WebCruiser, WebInspect (…)

● free/open source

arachni, IronWASP, Netsparker Community Edition, N-Stalker Free Edition, Skipfish, Syhunt Mini, VEGA, W3AF, Wapiti, WATOBO, XSSer, Zed Attack Proxy (ZAP), (...)

Price and Feature Comparison of Web Application Scanners:http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.htmlhttp://www.gallop.net/pdf/white-papers/Security-Testing-WhitePaper.pdf

http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html
http://www.gallop.net/pdf/white-papers/Security-Testing-WhitePaper.pdf
Page 11: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Wybór skanera● GUI, konsola, OS● Technologia, atak, rodzaj testów● Zapisywanie pracy (logi)● API (automatyzacja, rozbudowa, wtyczki, własne

słowniki)● Raporty (retest podatności)● Konfiguracja (rodzaje testów, wielowątkowość)● Dokumentacja● Stabilność● Obsługa sesji● Import (URL, inne skanery)

Page 12: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Arachni

Page 13: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Arachni

Page 14: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Arachni

Page 15: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Arachni

Page 16: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

w3af

Page 17: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

w3af

Page 18: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

XSSer

Page 19: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

SQLmap

Page 20: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

OWASP DirBuster

Page 21: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

WPScan

Page 22: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

WPScan

Page 23: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,
Page 24: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

1. Konfiguracja

Page 25: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Problemy

● Obsługa sesji (zalogowany/wylogowany)● Tokeny CSRF● „Testy wydajnościowe”● Wybór ataków● Aktualizacja ataków

Page 26: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

2. Spider / Crawler

Page 27: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Problemy

● REST● Flash, Silverlight, (...)● JavaScript● Ograniczone pokrycie● Pętla

Page 28: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

3. Aktywne skanowanie

Page 29: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

3. Aktywne skanowanie

Page 30: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

3. Aktywne skanowanie

Page 31: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Problemy

● Obsługa sesji - monitoring● Błędy logiczne/biznesowe● Akcje złożone z wielu etapów

Page 32: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

4. Raport

Page 33: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Problemy

● Opis podatności● Retest podatności● Eksport danych● Wiedza● False positives

The web application under test seems to be in a shared hosting. This list of domains, and the domain of the web application under test, all point to the same IP address:

www.microsoft.com

Page 34: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

SSL LABS

Page 35: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Podsumowanie

● Zdobyć podstawową wiedzę● Dobrać narzędzie do potrzeb● Zadbać o optymalną konfigurację● Weryfikować w trakcie pracy● Opisać defekty/podatności :)

● Manual > Automat

Page 36: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

WWWhttps://zaufanatrzeciastrona.pl/

http://sekurak.pl/

https://niebezpiecznik.pl/

https://www.owasp.org

https://www.ssllabs.com/ssltest/

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

http://www.arachni-scanner.com/

http://sqlmap.org/

http://wpscan.org/

http://xsser.03c8.net/

https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project

http://w3af.org/

http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.htmlhttp://www.gallop.net/pdf/white-papers/Security-Testing-WhitePaper.pdf

https://zaufanatrzeciastrona.pl/
http://sekurak.pl/
https://niebezpiecznik.pl/
https://www.owasp.org/
https://www.ssllabs.com/ssltest/
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
http://www.arachni-scanner.com/
http://sqlmap.org/
http://wpscan.org/
http://xsser.03c8.net/
https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project
http://w3af.org/
http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html
http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html
http://www.gallop.net/pdf/white-papers/Security-Testing-WhitePaper.pdf
Page 37: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,

Dziękuję za uwagę

Pytania?

Borys Łącki

[email protected]

mailto:[email protected]

Netsparker - Hosting Zirvesi 2010

języka naturalnego Automatyzacja procesu testowania ... · Przetwarzanie języka naturalnego Software Developer’s Journal 08/2007 Automatyzacja procesu testowania warstwy prezentacji

Optimizing Your Application Security Program with Netsparker and ThreadFix

Online Web Security Scanning Service Video Storyboard For NetSparker By Advids

Wyjdź z laboratorium! Planowanie złożonego projektu badawczego na etapie testowania koncepcji (CHI Poznań)

Zastosowanie narzędzi i mechanizmów testowania w procesie

Acunetix Manual

Automatyzacja Testowania Web20

Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibilidade]

Sztuka testowania oprogramowania - czytelnia.wiedzanaplus.plczytelnia.wiedzanaplus.pl/books/121/sztuka_testowania_oprogramowa... · Zawiera cenne wskazówki dla testerów dotycz¹ce

Testy dwóch róż – czyli Lancasterowie i Yorkowie poznają psychologię testowania

Apresentação Acunetix - Scanner ambiente WEB - Fev2013

Is Your Website Hackable? Check with Acunetix Web Vulnerability Scanner. Acunetix Web Vulnerability Scanner

  · Web viewDokument opisuje proces testowania oprogramowania. Dokument składa się a następujących rozdziałów:

iBibliography SQL Injection Solutions · using Acunetix showed 199 SQL injection and 42 blind SQL injection vulnerabilities. From Acunetix we were able to identify three variables

Is your website hackable? - E-SPIN Group€¦ · Acunetix - The Technology Leader in Web Application Security The Acunetix innovative technologies include: · DeepScan Technology

Acunetix Web Vulnerability Scanner · Response Tab ... Introduction to Acunetix Web Vulnerability Scanner ... JavaScript, AJAX and Web 2.0 web applications

RAPORT Z TESTOWANIA - KUL

PC Pro Business Reviews Acunetix Web Vulnerability Scanner · PC Pro Business Reviews Acunetix Web Vulnerability Scanner A comprehensive set of security tools in one package, with

Proces testowania od kuchni

Scenariusz testowania użyteczności, Monika Telega, Making Waves

Analiza nowej Rekomendacji D pod kątem metodologii testowania

Web application firewall - Netsparker

PTER - metodyka testowania bezpieczeństwa aplikacji internetowych

Streamlining Application Vulnerability Management v3€¦ · HP WebInspect Mavituna Security Netsparker Tenable Nessus Acunetix OWASP Zed Attack Proxy Arachni Skipfish w3aF Static

Crowdsourcing testowania aplikacji i serwisów webowych, czyli testowanie 2.0

Kavi Acunetix Web Vulnerability Scanner Sunumu

Companies using Acunetix Web Vulnerability Scanner US Coast Guard ... company’s vulnerability management, IT security audit, ... Companies using Acunetix Web Vulnerability Scanner

Wprowadzenie do testowania BłaŜej Pietrzak

Acunetix Product Overview Updated Ver. 11.x E-SPIN ... · E-SPIN Vulnerability Management (VM) Acunetix Product Overview Ver. 11.x Updated ... Source Code Disclosure ... AWVS Online

Netsparker Scan Report - ASafaWeb

Testowanie. Wprowadzenie do testowania oprogramowania

xUnit - narzędzie do testowania

The InvictiTM AppSec Indicator - Acunetix

TESTING NETWORK SECURITY USING KALI LINUXbulletin.feccupit.ro/archive/pdf/2018_2_4.pdfas penetration testing security suites. Several examples are: Netsparker[14], Acunetix, W3af,