1. QualysGuard WAS
Implementace v ČNB
Ing. Tomáš KlímaIng. Tomáš Klíma

2. Důvody zavedeníDůvody zavedení
• „86% of all websites had at least one serious vulnerability“
The WhiteHat Website Security Statistics Report, 2013
• „99% of tested applications have vulnerabilities“
Cenzic Application Vulnerability Trends Report, 2013
2

3. Důvody zavedeníDůvody zavedení
• „86% of all websites had at least one serious vulnerability“
The WhiteHat Website Security Statistics Report, 2013
• „99% of tested applications have vulnerabilities“
Cenzic Application Vulnerability Trends Report, 2013
+ požadavek interního auditu
3

4. Současný stavSoučasný stav 4
• 5 licencí
(3x vývojové verze, 2x ostrá – požadavek od
vlastníků aplikací na testování všech v ostré verzi)
• V provozu od 7/2013
• Během 3Q/2012 testovací provoz – „demoverze“

5. WAS LifecycleWAS Lifecycle 5

6. Praktické zkušenostiPraktické zkušenosti 6
Příprava skenů
•Několik typů autentizace – využití certifikátů, Selenium
skriptů, dále nastavení FW
•Discovery sken – ověření definice scopu, identifikace
„nebezpečných“ formulářů, ověření funkční autentizace

7. Praktické zkušenostiPraktické zkušenosti 7
Samotný (vulnerability) sken
•Limit 8000 pages per aplikace
•Možnost nastavení intenzity skenu

8. Praktické zkušenostiPraktické zkušenosti 8
Samotný sken
•Limit 8000 pages per aplikace
•Možnost nastavení intenzity skenu

9. Praktické zkušenostiPraktické zkušenosti 9
Reporting
•Od testovacího provozu (2012) značné zlepšení reportů
•Analýza reportu vyžaduje znalost problematiky webaplikací
a OWASP zranitelností
•Nutná konzultace nalezených zranitelností s vývojáři
•Vhodné manuální ověření nalezených zranitelností.

10. Díky za pozornost
QQ & A& A 10