Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Web Application Scanning

ZveřejnilVendula Černá

Podobné prezentace

Prezentace na téma: "Web Application Scanning"— Transkript prezentace:

1 Web Application Scanning
RAC QualysGuard InfoDay 2010 1

2 RAC QualysGuard InfoDay 2010
Webová aplikace Co to je webová aplikace Zákaznická aplikace založená převážně na HTML protokolu Jako klientské prostředí je použit webový prohlížeč (Microsoft Explorer, Mozilla Firefox, Opera) Serverové prostředí založeno na webovém engine (Apache, IIS) Logika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java) Příklad webových aplikací Portál Informační systém Internetový obchod, Internetové bankovnictví Intranetová / extranetová aplikace Redakční systém, CMS RAC QualysGuard InfoDay 2010 2 (c) 2007 Risk Analysis Consultants / SmithNovak

3 Příklad webové aplikace
RAC QualysGuard InfoDay 2010 3

4 Co testuje QualysGuard VM
Které zranitelnosti najde QualysGuard VM Zranitelnosti hostitelského serveru (Windows server, Linux) Zranitelnosti webového engine (Apache, IIS) Zranitelnosti skriptovacích jazyků (PHP, ASP, Java) Chyby v šifrování u SSL/HTTPS Zranitelnosti známých webových aplikací (OpenSource, CMS) Které zranitelnosti nenajde QualysGuard VM Neprohledává strukturu webové aplikace do hloubky Chybové stránky uvnitř aplikace Zranitelnosti nedostatečné validace vstupních parametrů (SQL Injection apod..) Webové servery vyžadující autentizaci RAC QualysGuard InfoDay 2010 4 4 (c) 2007 Risk Analysis Consultants / SmithNovak

5 Modul - Web Application Scanning
RAC QualysGuard InfoDay 2010 5

6 Základní údaje webové aplikace
RAC QualysGuard InfoDay 2010 6

7 Přihlašovací informace
Serverové přihlašování Použito na některých webových serverech Několik typů přihlašovaní Basic Digest NTLM RAC QualysGuard InfoDay 2010 7 7 (c) 2007 Risk Analysis Consultants / SmithNovak

8 Zadání přihlašovacích údajů do WAS
RAC QualysGuard InfoDay 2010 8

9 Formulářové přihlašování
Používá většina webů Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různé Při přihlašování použity často další skryté parametry, např. cookies RAC QualysGuard InfoDay 2010 9 9 (c) 2007 Risk Analysis Consultants / SmithNovak

10 Získání údajů pro formulářové přihlášení
Nutno zadat přihlašovací informace Není úplně triviální, nutno ve spolupráci s vývojářem nebo použít pomocné nástroje Vhodné použít např. pluginy do Mozilly Firefox: LiveHTTPHeaders, Tamper Data Umožňují zobrazit textová html data mezi serverem a klientem Příklad dat: loggedURL=http%3A%2F%2F .seznam.cz%2Fticket&serviceId= &forceSSL=0&username=novak&domain=seznam.cz&password=aaaa&js=1 RAC QualysGuard InfoDay 2010 10 10 (c) 2007 Risk Analysis Consultants / SmithNovak

11 Vkládání přihlašovacích údajů
RAC QualysGuard InfoDay 2010 11

12 Další volitelné parametry testování
Black list V jaké části aplikace nemá probíhat testování Odkazy pro odhlášení, změna hesla, administrace uživatele White list V jaké části aplikace má probíhat testování Vhodné pro testování pouze části aplikace , např. u rozsáhlých webových aplikací Brute force Prověří přihlašovací formulář na kombinaci jmen a hesel Vyhledání citlivých informací Čísla kreditních karet Výskyt libovolného textového řetězce RAC QualysGuard InfoDay 2010 12 12 (c) 2007 Risk Analysis Consultants / SmithNovak

13 Spuštění testu webové aplikace
RAC QualysGuard InfoDay 2010 13

14 RAC QualysGuard InfoDay 2010
Výsledný protokol WAS RAC QualysGuard InfoDay 2010 14

15 RAC QualysGuard InfoDay 2010
Typy nálezů WAS Všeobecné informace Struktura webové aplikace Odkazy na externí weby, vadné odkazy, seznam ů Vlastnosti Session, Cookies, formulářů SQL Injection Způsobeno nedostatečnou validací vstupů Umožňuje získat data z databáze nebo obejít přístupová práva aplikace XSS Cross-site scripting Umožňují podvrhnout část obsahu webu Další zranitelnosti Stránky generující chybová hlášení Soubory, adresáře, výpisy adresářů Nálezy citlivých informací RAC QualysGuard InfoDay 2010 15 15 (c) 2007 Risk Analysis Consultants / SmithNovak

16 RAC QualysGuard InfoDay 2010
Shrnutí WAS WAS poskytuje následující výhody Automatické testování webové aplikace, možnost sledování změn v čase, audit přístupových práv uživatelů Prohledání celé struktury aplikace včetně autentizace Testovací algoritmus vyvíjen na základě uznávané metodologie Open Web Application Security Project (OWASP) Odlišnosti od klasického penetračního testování Nutnost větší spolupráce s vývojáři, nálezy jsou obtížněji interpretovatelné Nenajde zranitelnosti související např. se špatnou logikou přístupových práv aplikace, session stealing Ruční testování specialistou na bezpečnost webové aplikace je nutné pro komplexní kontrolu bezpečnosti WAS současí QualysuGuard od 4Q2010, vývoj neustále probíhá, přes 10 verzí RAC QualysGuard InfoDay 2010 16 16 (c) 2007 Risk Analysis Consultants / SmithNovak

Stáhnout ppt "Web Application Scanning"

Podobné prezentace

E-learning – moderní elektronická podpora výuky

E-learning – moderní elektronická podpora výuky
Vývoj metody a systému na podporu rozhodování ve financování dopravní obslužnosti státu a regionů Úkol. č. 1F44E/081/410.

Vývoj metody a systému na podporu rozhodování ve financování dopravní obslužnosti státu a regionů Úkol. č. 1F44E/081/410.
Web Michal Žůrek Jak se na něj dívám já..

Web Michal Žůrek Jak se na něj dívám já..
Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.

Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.
Webové rozhraní pro datové úložiště

Webové rozhraní pro datové úložiště
 Informací se data a vztahy mezi nimi stávají vhodnou interpretací pro uživatele, která odhaluje uspořádání, vztahy, tendence a trendy  Existuje celá.

 Informací se data a vztahy mezi nimi stávají vhodnou interpretací pro uživatele, která odhaluje uspořádání, vztahy, tendence a trendy  Existuje celá.
Diagramy případů užití.

Diagramy případů užití.
Základy práce s počítačem – lekce V.

Základy práce s počítačem – lekce V.
Open Web Application Security Project (OWASP)

Open Web Application Security Project (OWASP)
2003-07-07© 2003 FSS, spol. s r.o. Všechna práva vyhrazena.1 e - Insurance Management System Financial Support Services Struktura systému.

© 2003 FSS, spol. s r.o. Všechna práva vyhrazena.1 e - Insurance Management System Financial Support Services Struktura systému.
Informační systém pro správu dokumentů a fotografií

Informační systém pro správu dokumentů a fotografií
Tvorba webových aplikací

Tvorba webových aplikací
ČVUT Praha, Fakulta elektrotechnická Diplomová práce Informační systém házenkářského turnaje Petr Plodík.

ČVUT Praha, Fakulta elektrotechnická Diplomová práce Informační systém házenkářského turnaje Petr Plodík.
NET Genium software pro výstavbu a provoz informačního portálu Martin Vonka

NET Genium software pro výstavbu a provoz informačního portálu Martin Vonka
Tabulkový procesor.

Tabulkový procesor.
Moderní formy tvorby webových stránek Martin Šebela, 9.A vedoucí práce: Mgr. Jan Kříž.

Moderní formy tvorby webových stránek Martin Šebela, 9.A vedoucí práce: Mgr. Jan Kříž.
PHP – Základy programování

PHP – Základy programování
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.

Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
SIPVZ – Státní informační politika ve vzdělávání w w w. e - g r a m. c z E-gram E-gram Informační a komunikační web SIPVZ 1. Původní web:

SIPVZ – Státní informační politika ve vzdělávání w w w. e - g r a m. c z E-gram E-gram Informační a komunikační web SIPVZ 1. Původní web:
Celní služby 2000 Radek Sedláček TranSoft a.s. +420 38 7009111 www.transoft.cz Radek Sedláček TranSoft a.s. +420 38 7009111 www.transoft.cz.

Celní služby 2000 Radek Sedláček TranSoft a.s Radek Sedláček TranSoft a.s

Podobné prezentace

Reklamy Google