Web Application Scanning

Slides:



Advertisements
Podobné prezentace
E-learning – moderní elektronická podpora výuky
Advertisements

Vývoj metody a systému na podporu rozhodování ve financování dopravní obslužnosti státu a regionů Úkol. č. 1F44E/081/410.
Web Michal Žůrek Jak se na něj dívám já..
Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.
Webové rozhraní pro datové úložiště
 Informací se data a vztahy mezi nimi stávají vhodnou interpretací pro uživatele, která odhaluje uspořádání, vztahy, tendence a trendy  Existuje celá.
Diagramy případů užití.
Základy práce s počítačem – lekce V.
Open Web Application Security Project (OWASP)
© 2003 FSS, spol. s r.o. Všechna práva vyhrazena.1 e - Insurance Management System Financial Support Services Struktura systému.
Informační systém pro správu dokumentů a fotografií
Tvorba webových aplikací
ČVUT Praha, Fakulta elektrotechnická Diplomová práce Informační systém házenkářského turnaje Petr Plodík.
NET Genium software pro výstavbu a provoz informačního portálu Martin Vonka
Tabulkový procesor.
Moderní formy tvorby webových stránek Martin Šebela, 9.A vedoucí práce: Mgr. Jan Kříž.
PHP – Základy programování
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
SIPVZ – Státní informační politika ve vzdělávání w w w. e - g r a m. c z E-gram E-gram Informační a komunikační web SIPVZ 1. Původní web:
Celní služby 2000 Radek Sedláček TranSoft a.s Radek Sedláček TranSoft a.s
Maturitní okruh 22: Úvod do HTML. Značkovací a klasické jazyky Klasické: převládá strukturovaný text (programovací kód), skripty jsou prováděny na straně.
Jazyk PHP Programovací jazyk PHP (Hypertext preprocessor) je skriptovací jazyk, který běží na straně serveru. KLIENT - SERVER Server posílá do vašeho počítače.
Walter Schorge Archa – Open Source archivní informační systém v NTM Archivy, knihovny a muzea v digitálním světě
Elektronická žákovská knížka Autor: Matěj Liederhaus Vedoucí projektu: Klára Císařová.
Návrh a tvorba WWW Přednáška 5 Úvod do jazyka PHP.
Internetový prohlížeč
Internet.  Celosvětový systém propojených počítačů  Funkce  Sdílení dat  Elektronická pošta.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.1 Lucián Piller Intranet HR.
WWW – hypertextový informační systém
ISSS Pavel Kopecký, Zlínský kraj Václav Mařík, Marbes consulting s.r.o.
AJAX nejmodernější webová technologie… seminář pro učitele ZŠ a SŠ Mgr. Marek Osuchowski Ostravská univerzita © 2011.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
uložené procedury (stored procedures) triggery, sekvence, pohledy, funkce, parametrické dotazy (prepared statements) komplexní agregace a SQL dotazy jiné.
Elektronický registr oznámení Zpracoval(a): Mgr. František Rudecký
Mobilní kancelář (…nejen pro velké firmy) Vladimír Wojnar Microsoft Solutions HP.
Aplikační programy, programovací jazyky, formáty datových souborů
CMS Moodle Petr Korviny Témata příspěvku úvod o CMS Moodle úvod o CMS Moodle tvorba kurzu tvorba kurzu správa kurzu (z pohledu lektora,
2 Petr Žitný znalosti.vema.cz 3 Báze znalostí Nová služba zákazníkům ▸Báze naplněná informacemi, ke které mají uživatelé přímý přístup Základní cíl ▸Poskytovat.
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
Portál veřejné správy spolupráce s BusinessInfo CS – Zákaznická řešení pro státní správu Ing. Jitka Novotná Ministerstvo informatiky.
IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation Rizika napadení webových aplikací Konference ISSS 2005 Title.
Úvod do PHP IZI 228.
Obchodní akademie, Ostrava-Poruba, příspěvková organizace Vzdělávací materiál/DUM VY_32_INOVACE_01B11 Autor Ing. Jiří Kalousek Období vytvoření prosinec.
Kamasová Silvie 9.C. Mozilla firefox Rychlejší prohlížení webu Blokování vyskakovacích oken Prohlížení stránek v panelech Snadná změna vzhledu Intuitivní.
IDEA Web Systém 5.0 Pavel Bezstarosti IDEA spol. s r.o
Přístup k databázím z WWW PHP+MySQL. Síť WWW je v současné době místem pro dynamické, často databázemi řízené webové aplikace. Tvorba webového serveru.
Systém evidence nemovitého majetku kraje Vysočina
Microsoft SQL server Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí.
Aktuální bezpečnostní výzvy … a jak na ně ….. v praxi Dalibor Lukeš Platform and Security Manager Microsoft Czech and Slovak Michal Pechan Production Stream.
PHP Programy pro tvorbu WWW stránek - 01
Tomáš Režňák 5. dubna 2005 webmasterské setkání v rámci konference ISSS Centrum dopravního výzkumu Brno Intranet jako pomocník webmastera.
HYPERTEXT PREPROCESSOR. JAZYK PHP. VYUŽITÍ JAZYKA Programování dynamických internetových stránek a webových aplikací vytvoření šablony webu kniha návštěv.
Publikujeme s Autodesk MapGuide v.5.0 Ing. Jan Růžička, Dr. Ing. Jiří Horák VŠB-Technická univerzita Ostrava
Stanice v síti učební texty pro deváté ročníky ZŠ.
Klient pro správu databází MySQL 1 Klient pro správu databází MySQL Zbyněk Munzar České vysoké učení technické v Praze Fakulta elektrotechnická.
Portál jako Dynamic WorkPlace.  Cleverbee s.r.o.  společnost založena 2000  15 let zkušeností (prodej a vývoj ERP řešení)  švýcarská společnost se.
Jak fungují webové stránky Úvod do HTML (1). Projekt: CZ.1.07/1.5.00/ OAJL - inovace výuky Příjemce: Obchodní akademie, odborná škola a praktická.
EU peníze školám Registrační číslo projektu CZ.1.07/1.4.00/ Název projektu Inovace školství Šablona - název Inovace a zkvalitnění výuky prostřednictvím.
Internet (služby Internetu, WWW) Služby Internetu WWW (World Wide Web) – dnes nejrozšířenější služba; spoustě lidí splývá s Internetem jako takovým WWW.
VZ Zajištění podpory procesů a materiálně technického zázemí pro jednání pracovních skupin Informační systém Národní soustavy kvalifikací Návod na obsluhu.
Zabezpečení – CSRF, XSS Tomáš Hulák, Miroslav Kořínek.
FTP-SSL FTP-SSL Martin Dušek Martin Fúsek Josef Vlček.
Internetový prohlížeč
as4u advanced system for you
5/6/2018 VIZUALIZACE ROZPOČTU Petra Hoffmanová.
Zabezpečení www stránek
Čo je PHP- PHP (PHP: Hypertext Preprocessor) je populárny open source (prístupné zdrojové kódy) skriptovací programovací jazyk Používa najmä na programovanie.
RAC QualysGuard InfoDay 2010
Webové aplikace Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Jitka Vlčková. Dostupné z Metodického portálu ISSN
E-learning – moderní elektronická podpora výuky
Transkript prezentace:

Web Application Scanning RAC QualysGuard InfoDay 2010 1

RAC QualysGuard InfoDay 2010 Webová aplikace Co to je webová aplikace Zákaznická aplikace založená převážně na HTML protokolu Jako klientské prostředí je použit webový prohlížeč (Microsoft Explorer, Mozilla Firefox, Opera) Serverové prostředí založeno na webovém engine (Apache, IIS) Logika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java) Příklad webových aplikací Portál Informační systém Internetový obchod, Internetové bankovnictví Intranetová / extranetová aplikace Redakční systém, CMS RAC QualysGuard InfoDay 2010 2 (c) 2007 Risk Analysis Consultants / SmithNovak

Příklad webové aplikace RAC QualysGuard InfoDay 2010 3

Co testuje QualysGuard VM Které zranitelnosti najde QualysGuard VM Zranitelnosti hostitelského serveru (Windows server, Linux) Zranitelnosti webového engine (Apache, IIS) Zranitelnosti skriptovacích jazyků (PHP, ASP, Java) Chyby v šifrování u SSL/HTTPS Zranitelnosti známých webových aplikací (OpenSource, CMS) Které zranitelnosti nenajde QualysGuard VM Neprohledává strukturu webové aplikace do hloubky Chybové stránky uvnitř aplikace Zranitelnosti nedostatečné validace vstupních parametrů (SQL Injection apod..) Webové servery vyžadující autentizaci RAC QualysGuard InfoDay 2010 4 4 (c) 2007 Risk Analysis Consultants / SmithNovak

Modul - Web Application Scanning RAC QualysGuard InfoDay 2010 5

Základní údaje webové aplikace RAC QualysGuard InfoDay 2010 6

Přihlašovací informace Serverové přihlašování Použito na některých webových serverech Několik typů přihlašovaní Basic Digest NTLM RAC QualysGuard InfoDay 2010 7 7 (c) 2007 Risk Analysis Consultants / SmithNovak

Zadání přihlašovacích údajů do WAS RAC QualysGuard InfoDay 2010 8

Formulářové přihlašování Používá většina webů Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různé Při přihlašování použity často další skryté parametry, např. cookies RAC QualysGuard InfoDay 2010 9 9 (c) 2007 Risk Analysis Consultants / SmithNovak

Získání údajů pro formulářové přihlášení Nutno zadat přihlašovací informace Není úplně triviální, nutno ve spolupráci s vývojářem nebo použít pomocné nástroje Vhodné použít např. pluginy do Mozilly Firefox: LiveHTTPHeaders, Tamper Data Umožňují zobrazit textová html data mezi serverem a klientem Příklad dat: loggedURL=http%3A%2F%2Femail.seznam.cz%2Fticket&serviceId=email&forceSSL=0&username=novak&domain=seznam.cz&password=aaaa&js=1 RAC QualysGuard InfoDay 2010 10 10 (c) 2007 Risk Analysis Consultants / SmithNovak

Vkládání přihlašovacích údajů RAC QualysGuard InfoDay 2010 11

Další volitelné parametry testování Black list V jaké části aplikace nemá probíhat testování Odkazy pro odhlášení, změna hesla, administrace uživatele White list V jaké části aplikace má probíhat testování Vhodné pro testování pouze části aplikace , např. u rozsáhlých webových aplikací Brute force Prověří přihlašovací formulář na kombinaci jmen a hesel Vyhledání citlivých informací Čísla kreditních karet Výskyt libovolného textového řetězce RAC QualysGuard InfoDay 2010 12 12 (c) 2007 Risk Analysis Consultants / SmithNovak

Spuštění testu webové aplikace RAC QualysGuard InfoDay 2010 13

RAC QualysGuard InfoDay 2010 Výsledný protokol WAS RAC QualysGuard InfoDay 2010 14

RAC QualysGuard InfoDay 2010 Typy nálezů WAS Všeobecné informace Struktura webové aplikace Odkazy na externí weby, vadné odkazy, seznam emailů Vlastnosti Session, Cookies, formulářů SQL Injection Způsobeno nedostatečnou validací vstupů Umožňuje získat data z databáze nebo obejít přístupová práva aplikace XSS Cross-site scripting Umožňují podvrhnout část obsahu webu Další zranitelnosti Stránky generující chybová hlášení Soubory, adresáře, výpisy adresářů Nálezy citlivých informací RAC QualysGuard InfoDay 2010 15 15 (c) 2007 Risk Analysis Consultants / SmithNovak

RAC QualysGuard InfoDay 2010 Shrnutí WAS WAS poskytuje následující výhody Automatické testování webové aplikace, možnost sledování změn v čase, audit přístupových práv uživatelů Prohledání celé struktury aplikace včetně autentizace Testovací algoritmus vyvíjen na základě uznávané metodologie Open Web Application Security Project (OWASP) Odlišnosti od klasického penetračního testování Nutnost větší spolupráce s vývojáři, nálezy jsou obtížněji interpretovatelné Nenajde zranitelnosti související např. se špatnou logikou přístupových práv aplikace, session stealing Ruční testování specialistou na bezpečnost webové aplikace je nutné pro komplexní kontrolu bezpečnosti WAS současí QualysuGuard od 4Q2010, vývoj neustále probíhá, přes 10 verzí RAC QualysGuard InfoDay 2010 16 16 (c) 2007 Risk Analysis Consultants / SmithNovak

Kontaktní formulář: Ochrana osobních údajů Kontaktní formulář
O projektu: SlidePlayer Podmínky použití

© 2024 SlidePlayer.cz Inc. All rights reserved.