5was 100524062135-phpapp02

Description
1. Web Application Scanning RAC QualysGuard InfoDay 2010 2. <ul><li>Co to je webová aplikace </li></ul><ul><ul><li>Zákaznická…

Please download to get full document.

View again

of 16
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Information
Category:

Slides

Publish on:

Views: 14 | Pages: 16

Extension: PDF | Download: 0

Share
Transcript
  • 1. Web Application Scanning RAC QualysGuard InfoDay 2010
  • 2. <ul><li>Co to je webová aplikace </li></ul><ul><ul><li>Zákaznická aplikace založená převážně na HTML protokolu </li></ul></ul><ul><ul><li>Jako klientské prostředí je použit webový prohlížeč (Microsoft Explorer, Mozilla Firefox, Opera) </li></ul></ul><ul><ul><li>Serverové prostředí založeno na webovém engine (Apache, IIS) </li></ul></ul><ul><ul><li>Logika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java) </li></ul></ul><ul><li>Příklad webových aplikací </li></ul><ul><ul><li>Portál </li></ul></ul><ul><ul><li>Informační systém </li></ul></ul><ul><ul><li>Internetový obchod, Internetové bankovnictví </li></ul></ul><ul><ul><li>Intranetová / extranetová aplikace </li></ul></ul><ul><ul><li>Redakční systém, CMS </li></ul></ul>Webová aplikace RAC QualysGuard InfoDay 2010
  • 3. Příklad webové aplikace RAC QualysGuard InfoDay 2010
  • 4. <ul><li>Které zranitelnosti najde QualysGuard VM </li></ul><ul><ul><li>Zranitelnosti hostitelského serveru (Windows server, Linux) </li></ul></ul><ul><ul><li>Zranitelnosti webového engine (Apache, IIS) </li></ul></ul><ul><ul><li>Zranitelnosti skriptovacích jazyků (PHP, ASP, Java) </li></ul></ul><ul><ul><li>Chyby v šifrování u SSL/HTTPS </li></ul></ul><ul><ul><li>Zranitelnosti známých webových aplikací (OpenSource, CMS) </li></ul></ul><ul><li>Které zranitelnosti nenajde QualysGuard VM </li></ul><ul><ul><li>Neprohledává strukturu webové aplikace do hloubky </li></ul></ul><ul><ul><li>Chybové stránky uvnitř aplikace </li></ul></ul><ul><ul><li>Zranitelnosti nedostatečné validace vstupních parametrů (SQL Injection apod..) </li></ul></ul><ul><ul><li>Webové servery vyžadující autentizaci </li></ul></ul>Co testuje QualysGuard VM RAC QualysGuard InfoDay 2010
  • 5. Modul - Web Application Scanning RAC QualysGuard InfoDay 2010
  • 6. Základní údaje webové aplikace RAC QualysGuard InfoDay 2010
  • 7. <ul><li>Serverové přihlašování </li></ul><ul><ul><li>Použito na některých webových serverech </li></ul></ul><ul><li>Několik typů přihlašovaní </li></ul><ul><ul><li>Basic </li></ul></ul><ul><ul><li>Digest </li></ul></ul><ul><ul><li>NTLM </li></ul></ul>Přihlašovací informace RAC QualysGuard InfoDay 2010
  • 8. Zadání přihlašovacích údajů do WAS RAC QualysGuard InfoDay 2010
  • 9. <ul><li>Formulářové přihlašování </li></ul><ul><ul><li>Používá většina webů </li></ul></ul><ul><ul><li>Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různé </li></ul></ul><ul><ul><li>Při přihlašování použity často další skryté parametry, např. cookies </li></ul></ul>Formulářové přihlašování RAC QualysGuard InfoDay 2010
  • 10. <ul><li>Nutno zadat přihlašovací informace </li></ul><ul><ul><li>Není úplně triviální, nutno ve spolupráci s vývojářem nebo použít pomocné nástroje </li></ul></ul><ul><ul><li>Vhodné použít např. pluginy do Mozilly Firefox: LiveHTTPHeaders , Tamper Data </li></ul></ul><ul><ul><li>Umožňují zobrazit textová html data mezi serverem a klientem </li></ul></ul><ul><li>Příklad dat: </li></ul><ul><li>loggedURL=http%3A%2F%2Femail.seznam.cz%2Fticket&serviceId=email&forceSSL=0&username=novak&domain=seznam.cz&password=aaaa&js=1 </li></ul>Získání údajů pro formulářové přihlášení RAC QualysGuard InfoDay 2010
  • 11. Vkládání přihlašovacích údajů RAC QualysGuard InfoDay 2010
  • 12. <ul><li>Black list </li></ul><ul><ul><li>V jaké části aplikace nemá probíhat testování </li></ul></ul><ul><ul><li>Odkazy pro odhlášení, změna hesla, administrace uživatele </li></ul></ul><ul><li>White list </li></ul><ul><ul><li>V jaké části aplikace má probíhat testování </li></ul></ul><ul><ul><li>Vhodné pro testování pouze části aplikace , např. u rozsáhlých webových aplikací </li></ul></ul><ul><li>Brute force </li></ul><ul><ul><li>Prověří přihlašovací formulář na kombinaci jmen a hesel </li></ul></ul><ul><li>Vyhledání citlivých informací </li></ul><ul><ul><li>Čísla kreditních karet </li></ul></ul><ul><ul><li>Výskyt libovolného textového řetězce </li></ul></ul>Další volitelné parametry testování RAC QualysGuard InfoDay 2010
  • 13. Spuštění testu webové aplikace RAC QualysGuard InfoDay 2010
  • 14. Výsledný protokol WAS RAC QualysGuard InfoDay 2010
  • 15. <ul><li>Všeobecné informace </li></ul><ul><ul><li>Struktura webové aplikace </li></ul></ul><ul><ul><li>Odkazy na externí weby, vadné odkazy, seznam emailů </li></ul></ul><ul><ul><li>Vlastnosti Session, Cookies, formulářů </li></ul></ul><ul><li>SQL Injection </li></ul><ul><ul><li>Způsobeno nedostatečnou validací vstupů </li></ul></ul><ul><ul><li>Umožňuje získat data z databáze nebo obejít přístupová práva aplikace </li></ul></ul><ul><li>XSS Cross-site scripting </li></ul><ul><ul><li>Způsobeno nedostatečnou validací vstupů </li></ul></ul><ul><ul><li>Umožňují podvrhnout část obsahu webu </li></ul></ul><ul><li>Další zranitelnosti </li></ul><ul><ul><li>Stránky generující chybová hlášení </li></ul></ul><ul><ul><li>Soubory, adresáře, výpisy adresářů </li></ul></ul><ul><ul><li>Nálezy citlivých informací </li></ul></ul>Typy nálezů WAS RAC QualysGuard InfoDay 2010
  • 16. <ul><li>WAS poskytuje následující výhody </li></ul><ul><ul><li>Automatické testování webové aplikace, možnost sledování změn v čase, audit přístupových práv uživatelů </li></ul></ul><ul><ul><li>Prohledání celé struktury aplikace včetně autentizace </li></ul></ul><ul><ul><li>Testovací algoritmus vyvíjen na základě uznávané metodologie Open Web Application Security Project (OWASP) </li></ul></ul><ul><li>Odlišnosti od klasického penetračního testování </li></ul><ul><ul><li>Nutnost větší spolupráce s vývojáři, nálezy jsou obtížněji interpretovatelné </li></ul></ul><ul><ul><li>Nenajde zranitelnosti související např. se špatnou logikou přístupových práv aplikace, session stealing </li></ul></ul><ul><ul><li>Ruční testování specialistou na bezpečnost webové aplikace je nutné pro komplexní kontrolu bezpečnosti </li></ul></ul><ul><ul><li>WAS současí QualysuGuard od 4Q2010, vývoj neustále probíhá, přes 10 verzí </li></ul></ul>Shrnutí WAS RAC QualysGuard InfoDay 2010
  • Related Search
    We Need Your Support
    Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

    Thanks to everyone for your continued support.

    No, Thanks