Self Made Web 2.0 Security Testing

•

0 recomendaciones•1,617 vistas

wurstbrot2

Sicherheitstests mit OWASP ZAP

Ciencias

Self-Made Web 2.0
Security Testing
Sven Großmann, Timo Pagel

Vorstellung
● Sven
○ Master Student: Information Technology
■ Schwerpunkt: Web-Technologien
● Timo
○ Fachinformatiker (Systemintegration)
○ Master Student: Information Technology
■ Schwerpunkt: IT-Sicherheit

Werkzeuge des White Hats
Vulnerability Scans (DAST)
Web Application Firewalls
Code Analysen (SAST)
System Härtungen
Sicherheits Schulungen
Intrusion Detection Systems

Werkzeuge des Black Hats
Web Application
SQL Injection
Cross Site Scripting
Security Misconfiguration
...
DAST

DAST-Werkzeuge
● Burp (ca. 200 $)
● OWASP Zap
● w3af
● sqlmap/nosqlmap
● weitere bei sectoolmarket.com
[1] http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html

Ein einfacher Scan
● Spider
○ Abdeckung der Seitenstruktur
● Scan
○ Schwachstellen aufdecken

Funktionsweise
Proxy:
Spider/Scanner:
In Anlehnung an: https://blog.codecentric.de/files/2013/10/overview.png

Ein einfacher Scan
Demo: OWASP Zap und WackoPicko

Funktionsweise
Proxy:
Spider/Scanner:
AjaxSpider:
In Anlehnung an: https://blog.codecentric.
de/files/2013/10/overview.png

OWASP Top Ten
● A1 Injection
● A2 Broken Authentication and Session Management
● A3 Cross-Site Scripting (XSS)
● A4 Insecure Direct Object References
● A5 Security Misconfiguration
● A6 Sensitive Data Exposure
● A7 Missing Function Level Access Control
● A8 Cross-Site Request Forgery (CSRF)
● A9 Using Components with Known Vulnerabilities
● A10 Unvalidated Redirects and Forwards
Quelle: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Vielen Dank
Kontakt:
Timo Pagel: security@timo-pagel.de
Sven Großmann: svennergr@gmail.com

Bild Quellen
Disney Interactive: http://www.starwars.com/

Recomendados

Reuters: Pictures of the Year 2016 (Part 2)maditabalnco

What's Next in Growth? 2016Andrew Chen

The Six Highest Performing B2B Blog Post FormatsBarry Feldman

The Outcome EconomyHelge Tennø

32 Ways a Digital Marketing Consultant Can Help Grow Your BusinessBarry Feldman

Web Application SecurityJonathan Weiss

Technologievergleich für RIAOliver Belikan

IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes

Rex - Infrastruktur als CodeJan Gehring

Lasttest auf Zuruf CloudTest On DemandSOASTA

Frontendtechnologien Fuer Ria V1.0Oliver Belikan

DWX 2014 - Testmanagement mit Visual Studio 2013Nico Orschel

Logstash: Open Source Log-Management (Webinar vom 20.02.2014)NETWAYS

DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps

Lasttest auf Zuruf CloudTest on Demand webinar presentationSOASTA

IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes

Web Applikations Securitygrafiniert UG (haftungsbeschränkt)

Technische SEO Probleme finden mit ToolsTimon Hartung

MySQL Security SLAC 2015FromDual GmbH

Logstash: Windows und Linux Logmanagement (Webinar vom 07.11.2014)NETWAYS

Crawl-Budget-Booster für eine bessere Search Engine ExperienceAndré Goldmann

DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?Marc Müller

Rails i18n - Railskonferenz 2007jan_mindmatters

Icinga 2: Integration von Graphite (Webinar vom 25.09.2014)NETWAYS

Apex testen wird überschaetztTrivadis

Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...NETWAYS

Warum Monitoring und warum Icinga 2 (Webinar vom 04.12.2013)NETWAYS

Monitoring Openstack - LinuxTag 2013NETWAYS

Más contenido relacionado

Similar a Self Made Web 2.0 Security Testing

Rex - Infrastruktur als CodeJan Gehring

Lasttest auf Zuruf CloudTest On DemandSOASTA

Frontendtechnologien Fuer Ria V1.0Oliver Belikan

DWX 2014 - Testmanagement mit Visual Studio 2013Nico Orschel

Logstash: Open Source Log-Management (Webinar vom 20.02.2014)NETWAYS

DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps

Lasttest auf Zuruf CloudTest on Demand webinar presentationSOASTA

IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes

Web Applikations Securitygrafiniert UG (haftungsbeschränkt)

Technische SEO Probleme finden mit ToolsTimon Hartung

MySQL Security SLAC 2015FromDual GmbH

Logstash: Windows und Linux Logmanagement (Webinar vom 07.11.2014)NETWAYS

Crawl-Budget-Booster für eine bessere Search Engine ExperienceAndré Goldmann

DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?Marc Müller

Rails i18n - Railskonferenz 2007jan_mindmatters

Icinga 2: Integration von Graphite (Webinar vom 25.09.2014)NETWAYS

Apex testen wird überschaetztTrivadis

Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...NETWAYS

Warum Monitoring und warum Icinga 2 (Webinar vom 04.12.2013)NETWAYS

Monitoring Openstack - LinuxTag 2013NETWAYS

Similar a Self Made Web 2.0 Security Testing (20)

Rex - Infrastruktur als Code

Lasttest auf Zuruf CloudTest On Demand

Frontendtechnologien Fuer Ria V1.0

DWX 2014 - Testmanagement mit Visual Studio 2013

Logstash: Open Source Log-Management (Webinar vom 20.02.2014)

DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps

Lasttest auf Zuruf CloudTest on Demand webinar presentation

IT-Sicherheit und agile Entwicklung? Geht das? Sicher!

Web Applikations Security

Technische SEO Probleme finden mit Tools

MySQL Security SLAC 2015

Logstash: Windows und Linux Logmanagement (Webinar vom 07.11.2014)

Crawl-Budget-Booster für eine bessere Search Engine Experience

DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?

Rails i18n - Railskonferenz 2007

Icinga 2: Integration von Graphite (Webinar vom 25.09.2014)

Apex testen wird überschaetzt

Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...

Warum Monitoring und warum Icinga 2 (Webinar vom 04.12.2013)

Monitoring Openstack - LinuxTag 2013

Self Made Web 2.0 Security Testing

1. Self-Made Web 2.0 Security Testing Sven Großmann, Timo Pagel

2. Vorstellung ● Sven ○ Master Student: Information Technology ■ Schwerpunkt: Web-Technologien ● Timo ○ Fachinformatiker (Systemintegration) ○ Master Student: Information Technology ■ Schwerpunkt: IT-Sicherheit

3. Sicherheits Experte Geschäftsführer

4. Werkzeuge des White Hats Vulnerability Scans (DAST) Web Application Firewalls Code Analysen (SAST) System Härtungen Sicherheits Schulungen Intrusion Detection Systems

5. Werkzeuge des Black Hats Web Application SQL Injection Cross Site Scripting Security Misconfiguration ... DAST

6. DAST-Werkzeuge ● Burp (ca. 200 $) ● OWASP Zap ● w3af ● sqlmap/nosqlmap ● weitere bei sectoolmarket.com [1] http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html

7. DAST-Werkzeuge ● Burp (ca. 200 $) ● OWASP Zap ● w3af ● sqlmap/nosqlmap ● weitere bei sectoolmarket.com [1] http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html

8. Ein einfacher Scan ● Spider ○ Abdeckung der Seitenstruktur ● Scan ○ Schwachstellen aufdecken

9. Produktivumgebung scannen?

10. Funktionsweise Proxy: Spider/Scanner: In Anlehnung an: https://blog.codecentric.de/files/2013/10/overview.png

11. Ein einfacher Scan Demo: OWASP Zap und WackoPicko

12. Funktionsweise Proxy: Spider/Scanner: AjaxSpider: In Anlehnung an: https://blog.codecentric. de/files/2013/10/overview.png

13. OWASP Top Ten ● A1 Injection ● A2 Broken Authentication and Session Management ● A3 Cross-Site Scripting (XSS) ● A4 Insecure Direct Object References ● A5 Security Misconfiguration ● A6 Sensitive Data Exposure ● A7 Missing Function Level Access Control ● A8 Cross-Site Request Forgery (CSRF) ● A9 Using Components with Known Vulnerabilities ● A10 Unvalidated Redirects and Forwards Quelle: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

14. Vielen Dank Kontakt: Timo Pagel: security@timo-pagel.de Sven Großmann: svennergr@gmail.com

15. Bild Quellen Disney Interactive: http://www.starwars.com/