SlideShare una empresa de Scribd logo

ŁódQA - Michał Szybalski - Security strategy

Descargar como PPTX, PDF
L
LodQA
Tecnología
1 de 16
DO WE REALLY NEED A STRATEGY ?? INTRODUCTION TO PENETRATION TESTING
PLAN PREZENTACJI 1. Wstęp 2. Przedstawienie przykładowych faz strategii pen testów 3. Omówienie poszczególnych faz 4. Pokazanie strategii OWASP Web Application Penetration Testing 5. Pytania M. SZYBALSKI 2014 2
TEST PENETRACYJNY A AUDYT BEZPIECZEŃSTWA • TEST polegający na przeprowadzeniu kontrolowanego ataku na system informatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń • NIE jest to audyt – nie oparty na formalnej specyfikacji stanu pożądanego (normie, akcie prawnym), nie prowadzi do jednoznacznego określenia stopnia zgodności audytowanego obiektu ze specyfikacją M. SZYBALSKI 2014 3
ETAPY PODEJŚCIA DO TESTÓW PENETRACYJNYCH Penetration Testing Phases Target Scoping Information Gathering / Reconnaissance Vulnerability Mapping Target Exploitation Maintaining Access Documentation & Reporting M. SZYBALSKI 2014 4
TARGET SCOPING • Definiowanie wymagań klienta • Zasięg • Czas • Zasoby • Cena • Rules of Engagement (RoE) • Non - disclosure Agreement (NDA) M. SZYBALSKI 2014 5
INFORMATION GATHERING / RECONNAISSANCE • Passive Information Gathering – publiczne zasoby (whois) • Semi - Passive Information Gathering – fingerprinting (xprobe) • Active Information Gathering – nmap, dirbuster, skipfish M. SZYBALSKI 2014 6
VULNERABILITY MAPPING • Określamy, czy dany element systemu można wykorzystać w niebezpieczny sposób • Przeprowadzenie różnego rodzaju testów – whitebox, blackbox • Przeglądanie już znalezionych bugów – Jira, bugzilla, QC • Stosowane narzędzia – OWASP ZAP, Burp, nmap, sqlmap, xsser, nikto, w3af, skipfish, arachni M. SZYBALSKI 2014 7
TARGET EXPLOITATION • Wykonanie penetracji wybranego systemu poprzez stworzenie wektora ataku, który ominie kolejne elementy zabezpieczeń • Celem jest zdobycie jakiegokolwiek zysku z przeprowadzonego testu • Narzędzia – framework Metasploit, hashcat, aircrack, jack the ripper, narzędzia proxy, soapUI M. SZYBALSKI 2014 8
MAINTAINING ACCESS • Backdoory, rootkity • Można przyśpieszyć testy !!! • Skrócenie czasu dostępu do skompromitowanego systemu w przyszłości • Narzędzia - ustanowienie połączenia zwrotnego (netcat / cryptcat) lub poprzez użycie tzw. webshelli M. SZYBALSKI 2014 9
DOCUMENTATION & REPORTING • Kluczowy element testów penetracyjnych !!! • Znalezione podatności i problemy oraz ich eskalacja • Dostarczenie informacji jak zweryfikować wykryte błędy • Propozycje eliminacji / naprawy błędów • Informacja dla biznesu o ryzyku prowadzonego projektu M. SZYBALSKI 2014 10
OWASP WEB APPLICATION PENETRATION TESTING • Zawiera Testing Guide • Dokument ten opisuje metodologię OWASP Web Application Penetration Testing oraz sposoby testowania zabezpieczeń • Dostarcza informacji jak zweryfikować wykryte błędy • Testy mają charakter blackbox • Definiuje podział na dwie fazy: pasywną oraz aktywną M. SZYBALSKI 2014 11
FAZA PASYWNA • Poznanie logiki aplikacji • Zebranie informacji o badanym systemie • Zrozumienie metody działania aplikacji oraz enumeracja, jak największej liczby punktów wejścia (access points) M. SZYBALSKI 2014 12
FAZA AKTYWNA • Przeprowadzenie właściwych testów podzielonych na kategorie: • Configuration Management Testing, • Business Logic Testing, • Authentication Testing, • Authorization Testing, • Session Management Testing, • Data Validation Testing, • Denial of Service Testing, • Web Services Testing, • Ajax Testing. M. SZYBALSKI 2014 13
PODSUMOWANIE ZALETY • Prostota • Duża swoboda • Rozpoznawalna • Ilość testów, opisów WADY • Blackbox • Tylko aplikacje webowe • Wolny rozwój poszczególnych wersji Testing Guide`a M. SZYBALSKI 2014 14
BIBLIOGRAFIA • OWASP Testing Guide - https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_ of_Contents • The Basics of Hacking and Penetration Testing - Patrick Engebretson • Hacking Exposed Web Applications - Joel Scambray, Vincent Liu, Caleb Sima • The Web Application Hackers Handbook - Dafydd Stuttard, Marcus PintoM. SZYBALSKI 2014 15
DZIĘKUJĘ ???????? 16

Recomendados

Application security verification standard
Application security verification standardApplication security verification standard
Application security verification standardSecuRing
 
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawekOchrona podatnych webaplikacji za pomocą wirtualnych poprawek
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek3camp
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
 
Testy eksploracyjne. Lucky shot czy zaplanowana akcja?
Testy eksploracyjne. Lucky shot czy zaplanowana akcja?Testy eksploracyjne. Lucky shot czy zaplanowana akcja?
Testy eksploracyjne. Lucky shot czy zaplanowana akcja?The Software House
 
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in actionLeszekMis
 
Modul 5 Jakwycryc symptomy Upadku
Modul 5 Jakwycryc symptomy UpadkuModul 5 Jakwycryc symptomy Upadku
Modul 5 Jakwycryc symptomy Upadkucaniceconsulting
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 

Recomendados

Application security verification standard
Application security verification standardApplication security verification standard
Application security verification standardSecuRing
 
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawekOchrona podatnych webaplikacji za pomocą wirtualnych poprawek
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek3camp
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
 
Testy eksploracyjne. Lucky shot czy zaplanowana akcja?
Testy eksploracyjne. Lucky shot czy zaplanowana akcja?Testy eksploracyjne. Lucky shot czy zaplanowana akcja?
Testy eksploracyjne. Lucky shot czy zaplanowana akcja?The Software House
 
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in actionLeszekMis
 
Modul 5 Jakwycryc symptomy Upadku
Modul 5 Jakwycryc symptomy UpadkuModul 5 Jakwycryc symptomy Upadku
Modul 5 Jakwycryc symptomy Upadkucaniceconsulting
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
Strategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz Kryk
Strategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz KrykStrategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz Kryk
Strategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz KrykSendingo Sp. z o. o.
 
Social media i błędy marketerów
Social media i błędy marketerówSocial media i błędy marketerów
Social media i błędy marketerówAnna Pogorzelska
 
Xevin consulting marketing_strategy
Xevin consulting marketing_strategyXevin consulting marketing_strategy
Xevin consulting marketing_strategyMałgorzata Nieciecka
 
Credentials
CredentialsCredentials
Credentialslukaszfront
 
Dlaczego social media są trudne? Zwierzenia stratega
Dlaczego social media są trudne? Zwierzenia strategaDlaczego social media są trudne? Zwierzenia stratega
Dlaczego social media są trudne? Zwierzenia strategaNorbert Piotrowski
 
Szkolenie na Otwartych warsztatach click apps styczeń 2012
Szkolenie na Otwartych warsztatach click apps styczeń 2012Szkolenie na Otwartych warsztatach click apps styczeń 2012
Szkolenie na Otwartych warsztatach click apps styczeń 2012Michal Slawinski
 
Bezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źleBezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źleSecuRing
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...SecuRing
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForcePabiszczak Błażej
 
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznegoSzymon Dowgwillowicz-Nowicki
 
Kwestionowanie ISTQB
Kwestionowanie ISTQBKwestionowanie ISTQB
Kwestionowanie ISTQBRadoslaw Smilgin
 
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Adam Mizerski
 
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITRekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITSecuRing
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychAntoni Orfin
 
Testy wydajnościowe - najlepsze praktyki - Kuba Gajda
Testy wydajnościowe - najlepsze praktyki - Kuba GajdaTesty wydajnościowe - najlepsze praktyki - Kuba Gajda
Testy wydajnościowe - najlepsze praktyki - Kuba GajdaBartłomiej Cymanowski
 
Podstawy testowania oprogramowania INCO 2023.pptx
Podstawy testowania oprogramowania INCO 2023.pptxPodstawy testowania oprogramowania INCO 2023.pptx
Podstawy testowania oprogramowania INCO 2023.pptxKatarzyna Javaheri-Szpak
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech DworakowskiPROIDEA
 
37. Montowanie i badanie systemu telewizji użytkowej
37. Montowanie i badanie systemu telewizji użytkowej37. Montowanie i badanie systemu telewizji użytkowej
37. Montowanie i badanie systemu telewizji użytkowejLukas Pobocha
 
4
44
4Szymon Konkol - Publikacje Cyfrowe
 
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForceOWASP
 

Más contenido relacionado

Destacado

Strategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz Kryk
Strategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz KrykStrategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz Kryk
Strategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz KrykSendingo Sp. z o. o.
 
Social media i błędy marketerów
Social media i błędy marketerówSocial media i błędy marketerów
Social media i błędy marketerówAnna Pogorzelska
 
Dlaczego social media są trudne? Zwierzenia stratega
Dlaczego social media są trudne? Zwierzenia strategaDlaczego social media są trudne? Zwierzenia stratega
Dlaczego social media są trudne? Zwierzenia strategaNorbert Piotrowski
 
Szkolenie na Otwartych warsztatach click apps styczeń 2012
Szkolenie na Otwartych warsztatach click apps styczeń 2012Szkolenie na Otwartych warsztatach click apps styczeń 2012
Szkolenie na Otwartych warsztatach click apps styczeń 2012Michal Slawinski
 

Destacado (6)

Strategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz Kryk
Strategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz KrykStrategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz Kryk
Strategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz Kryk
 
Social media i błędy marketerów
Social media i błędy marketerówSocial media i błędy marketerów
Social media i błędy marketerów
 
Xevin consulting marketing_strategy
Xevin consulting marketing_strategyXevin consulting marketing_strategy
Xevin consulting marketing_strategy
 
Credentials
CredentialsCredentials
Credentials
 
Dlaczego social media są trudne? Zwierzenia stratega
Dlaczego social media są trudne? Zwierzenia strategaDlaczego social media są trudne? Zwierzenia stratega
Dlaczego social media są trudne? Zwierzenia stratega
 
Szkolenie na Otwartych warsztatach click apps styczeń 2012
Szkolenie na Otwartych warsztatach click apps styczeń 2012Szkolenie na Otwartych warsztatach click apps styczeń 2012
Szkolenie na Otwartych warsztatach click apps styczeń 2012
 

Similar a ŁódQA - Michał Szybalski - Security strategy

Bezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źleBezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źleSecuRing
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...SecuRing
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForcePabiszczak Błażej
 
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznegoSzymon Dowgwillowicz-Nowicki
 
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Adam Mizerski
 
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITRekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITSecuRing
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychAntoni Orfin
 
Testy wydajnościowe - najlepsze praktyki - Kuba Gajda
Testy wydajnościowe - najlepsze praktyki - Kuba GajdaTesty wydajnościowe - najlepsze praktyki - Kuba Gajda
Testy wydajnościowe - najlepsze praktyki - Kuba GajdaBartłomiej Cymanowski
 
Podstawy testowania oprogramowania INCO 2023.pptx
Podstawy testowania oprogramowania INCO 2023.pptxPodstawy testowania oprogramowania INCO 2023.pptx
Podstawy testowania oprogramowania INCO 2023.pptxKatarzyna Javaheri-Szpak
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech DworakowskiPROIDEA
 
37. Montowanie i badanie systemu telewizji użytkowej
37. Montowanie i badanie systemu telewizji użytkowej37. Montowanie i badanie systemu telewizji użytkowej
37. Montowanie i badanie systemu telewizji użytkowejLukas Pobocha
 
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForceOWASP
 
infoShare 2014: Michał Sierzputowski, Testy automatyczne aplikacji webowych o...
infoShare 2014: Michał Sierzputowski, Testy automatyczne aplikacji webowych o...infoShare 2014: Michał Sierzputowski, Testy automatyczne aplikacji webowych o...
infoShare 2014: Michał Sierzputowski, Testy automatyczne aplikacji webowych o...Infoshare
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 

Similar a ŁódQA - Michał Szybalski - Security strategy (18)

Bezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źleBezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źle
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForce
 
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
 
Kwestionowanie ISTQB
Kwestionowanie ISTQBKwestionowanie ISTQB
Kwestionowanie ISTQB
 
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
 
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITRekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowych
 
Testy wydajnościowe - najlepsze praktyki - Kuba Gajda
Testy wydajnościowe - najlepsze praktyki - Kuba GajdaTesty wydajnościowe - najlepsze praktyki - Kuba Gajda
Testy wydajnościowe - najlepsze praktyki - Kuba Gajda
 
Podstawy testowania oprogramowania INCO 2023.pptx
Podstawy testowania oprogramowania INCO 2023.pptxPodstawy testowania oprogramowania INCO 2023.pptx
Podstawy testowania oprogramowania INCO 2023.pptx
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania
 
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
 
37. Montowanie i badanie systemu telewizji użytkowej
37. Montowanie i badanie systemu telewizji użytkowej37. Montowanie i badanie systemu telewizji użytkowej
37. Montowanie i badanie systemu telewizji użytkowej
 
4
44
4
 
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
 
infoShare 2014: Michał Sierzputowski, Testy automatyczne aplikacji webowych o...
infoShare 2014: Michał Sierzputowski, Testy automatyczne aplikacji webowych o...infoShare 2014: Michał Sierzputowski, Testy automatyczne aplikacji webowych o...
infoShare 2014: Michał Sierzputowski, Testy automatyczne aplikacji webowych o...
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
 

ŁódQA - Michał Szybalski - Security strategy

  • 1. DO WE REALLY NEED A STRATEGY ?? INTRODUCTION TO PENETRATION TESTING
  • 2. PLAN PREZENTACJI 1. Wstęp 2. Przedstawienie przykładowych faz strategii pen testów 3. Omówienie poszczególnych faz 4. Pokazanie strategii OWASP Web Application Penetration Testing 5. Pytania M. SZYBALSKI 2014 2
  • 3. TEST PENETRACYJNY A AUDYT BEZPIECZEŃSTWA • TEST polegający na przeprowadzeniu kontrolowanego ataku na system informatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń • NIE jest to audyt – nie oparty na formalnej specyfikacji stanu pożądanego (normie, akcie prawnym), nie prowadzi do jednoznacznego określenia stopnia zgodności audytowanego obiektu ze specyfikacją M. SZYBALSKI 2014 3
  • 4. ETAPY PODEJŚCIA DO TESTÓW PENETRACYJNYCH Penetration Testing Phases Target Scoping Information Gathering / Reconnaissance Vulnerability Mapping Target Exploitation Maintaining Access Documentation & Reporting M. SZYBALSKI 2014 4
  • 5. TARGET SCOPING • Definiowanie wymagań klienta • Zasięg • Czas • Zasoby • Cena • Rules of Engagement (RoE) • Non - disclosure Agreement (NDA) M. SZYBALSKI 2014 5
  • 6. INFORMATION GATHERING / RECONNAISSANCE • Passive Information Gathering – publiczne zasoby (whois) • Semi - Passive Information Gathering – fingerprinting (xprobe) • Active Information Gathering – nmap, dirbuster, skipfish M. SZYBALSKI 2014 6
  • 7. VULNERABILITY MAPPING • Określamy, czy dany element systemu można wykorzystać w niebezpieczny sposób • Przeprowadzenie różnego rodzaju testów – whitebox, blackbox • Przeglądanie już znalezionych bugów – Jira, bugzilla, QC • Stosowane narzędzia – OWASP ZAP, Burp, nmap, sqlmap, xsser, nikto, w3af, skipfish, arachni M. SZYBALSKI 2014 7
  • 8. TARGET EXPLOITATION • Wykonanie penetracji wybranego systemu poprzez stworzenie wektora ataku, który ominie kolejne elementy zabezpieczeń • Celem jest zdobycie jakiegokolwiek zysku z przeprowadzonego testu • Narzędzia – framework Metasploit, hashcat, aircrack, jack the ripper, narzędzia proxy, soapUI M. SZYBALSKI 2014 8
  • 9. MAINTAINING ACCESS • Backdoory, rootkity • Można przyśpieszyć testy !!! • Skrócenie czasu dostępu do skompromitowanego systemu w przyszłości • Narzędzia - ustanowienie połączenia zwrotnego (netcat / cryptcat) lub poprzez użycie tzw. webshelli M. SZYBALSKI 2014 9
  • 10. DOCUMENTATION & REPORTING • Kluczowy element testów penetracyjnych !!! • Znalezione podatności i problemy oraz ich eskalacja • Dostarczenie informacji jak zweryfikować wykryte błędy • Propozycje eliminacji / naprawy błędów • Informacja dla biznesu o ryzyku prowadzonego projektu M. SZYBALSKI 2014 10
  • 11. OWASP WEB APPLICATION PENETRATION TESTING • Zawiera Testing Guide • Dokument ten opisuje metodologię OWASP Web Application Penetration Testing oraz sposoby testowania zabezpieczeń • Dostarcza informacji jak zweryfikować wykryte błędy • Testy mają charakter blackbox • Definiuje podział na dwie fazy: pasywną oraz aktywną M. SZYBALSKI 2014 11
  • 12. FAZA PASYWNA • Poznanie logiki aplikacji • Zebranie informacji o badanym systemie • Zrozumienie metody działania aplikacji oraz enumeracja, jak największej liczby punktów wejścia (access points) M. SZYBALSKI 2014 12
  • 13. FAZA AKTYWNA • Przeprowadzenie właściwych testów podzielonych na kategorie: • Configuration Management Testing, • Business Logic Testing, • Authentication Testing, • Authorization Testing, • Session Management Testing, • Data Validation Testing, • Denial of Service Testing, • Web Services Testing, • Ajax Testing. M. SZYBALSKI 2014 13
  • 14. PODSUMOWANIE ZALETY • Prostota • Duża swoboda • Rozpoznawalna • Ilość testów, opisów WADY • Blackbox • Tylko aplikacje webowe • Wolny rozwój poszczególnych wersji Testing Guide`a M. SZYBALSKI 2014 14
  • 15. BIBLIOGRAFIA • OWASP Testing Guide - https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_ of_Contents • The Basics of Hacking and Penetration Testing - Patrick Engebretson • Hacking Exposed Web Applications - Joel Scambray, Vincent Liu, Caleb Sima • The Web Application Hackers Handbook - Dafydd Stuttard, Marcus PintoM. SZYBALSKI 2014 15