SlideShare una empresa de Scribd logo

Опыт организации тестирования безопасности Web приложений в компании

Descargar como PPTX, PDF
SQALab
SQALab

Доклад Никиты Постолакия на SQA Days-15. 18-19 апреля, 2014, Москва. www.sqadays.com

Educación
1 de 25
ОПЫТ ОРГАНИЗАЦИИ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ WEB ПРИЛОЖЕНИЙ НИКИТА ПОСТОЛАКИЙ 10 АПРЕЛЯ 2014
Об авторе Никита Постолакий • 8+ лет в IT • PM проектов по тестированию в Itera Consulting • Область интересов: тест дизайн, управление рисками в тестировании, time management • Курирую команду тестирования безопасности web приложений 19.04.2014 / 2
Содержание 1. Задача которую необходимо было решить 2. Определение методологии 3. Получение компетенции в тестировании безопасности 4. Тестировщики Security – кто они? Несколько советов по построению команды 5. Основные этапы процесса тестирования безопасности 6. Вопросы 19.04.2014 / 3
Задача: 1. Построить процесс тестирования безопасности в компании 2. Создать QA команду тестирования безопасности 3. Не привлекая внешних экспертов 4. В срок 6 месяцев 19.04.2014 / 4
Задача Дополнительные параметры проекта: • Виды тестирования безопасности будут определены точнее в ходе проекта • Доступна команда из 3 инженеров с частичной загрузкой • Процесс тестирования должен охватывать полный спектр активностей «под ключ» • Процесс тестирования должен быть достаточно зрелым для продажи клиентам • Необходимо определитьразработать методику тестирования и построить процесс • Необходимо выбрать инструменты и ПО для проведения тестирования • Необходимо подготовить методические материалы – чек-листы, формы Excel, форматы отчетов, планов, стратегий и.т.д. 19.04.2014 / 5
ОПРЕДЕЛЕНИЕ МЕТОДОЛОГИИ
OWASP Open Web Application Security Project (OWASP) Некоммерческое сообщество по обеспечению безопасности веб приложений. Основные направления деятельности OWASP: - Создание документации по разработке секьюрного ПО – Development guide - Разработка методологии тестирования безопасности ПО - Testing guide - Разработка ПО для тестирования, анализа, мониторинга и разработки - Материалы для обучения - TOP 10 https://www.owasp.org 19.04.2014 / 7
OWASP • Более 200 проектов в области обеспечения безопасности ПО • Сообществом написано15 книг • Локальные сообщества в многих странах (и в Украине!) • Регулярные ивенты в области безопасности ПО • Все проекты доступны бесплатно! 19.04.2014 / 8
19.04.2014 / 9 OWASP – компании поддерживающие сообщество
Почему мы решили использовать методику тестирования web приложений OWASP? 19.04.2014 / 10
ПОЛУЧЕНИЕ КОМПЕТЕНЦИИ В ТЕСТИРОВАНИИ БЕЗОПАСНОСТИ
Уровни тестирования безопасности 19.04.2014 / 12 Безопасность инфраструктуры Безопасность приложения Безопасность организации • Сетевой уровень • Серверное ПО • Беспроводные сети • Firewall • VPN • Веб приложения • Мобильные приложения • Desktop приложения • Анализ кода • Моделирование атаки • Тренинги по безопасности • Секьюрити правила • Управление рисками • Business Continuity • Социальная инженерия
Тестирование безопасности веб приложений Configuration management • Анализ инфраструктуры • Работа с поисковыми машинами • Проверка серверного ПО Penetration Testing • Валидация данных / Инъекции (SQL, XSS, XML, XPATH, OS Commands, File Uploads etc.) • Тестирование аутентификации • Тестирование авторизации • Session management • DOS атаки Тестирование безопасности бизнес логики Тестирование безопасности веб-сервисов 19.04.2014 / 13
Подходы к тестированию 19.04.2014 / 14 • Social Engineering Черный ящик Белый ящик Серый ящик
Учебные материалы Методологии тестирования безопасности: – OWASP Testing Guide – Web – Open Source Security Testing Methodology Manual (OSSTMM) Интерактивные учебные курсы – OWASP Web GOAT Книги о тестировании безопасности – OWASP Testing Guide – Web Security Testing Cookbook (Paco Hope, Ben Walther) – Google Hacking for penetration testers (Johnny Long) – Hacking and Securing iOS Applications (Jonathan Zdziarski) – Mobile Application Security (Himanshu Dwivedi) 19.04.2014 / 15
Организация тестового окружения для обучения Как огранизовать тестовое окружение для обучения команды и практики на максимально приближенных к реальности примерах. 1. Damn Vulnerable Web Application http://www.dvwa.co.uk/ 2. HACKADEMIC project https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project 3. OWASP Web Goat project https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project 4. OWASP Live CD https://www.owasp.org/index.php/GPC_Project_Details/OWASP_Live_CD 19.04.2014 / 16
Временные затраты нашего проекта Обучение: Построение процесса: Пилотный проект: 19.04.2014 / 17 3 месяца 1 месяц 1,5 месяца
Построение команды Кто вам нужен что бы провести тестирование безопасности? – Баланс технических знаний и навыков в тестировании – Аналитика и навыки менеджера Наше решение: • 1 PM • 1 Senior QA инженер • 2 технаря (навыки программирования, сетевого администрирования) 19.04.2014 / 18
ОСНОВНЫЕ ЭТАПЫ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ ПРИЛОЖЕНИЯ
Анализ и сбор информации Цель этапа • Определить scope тестирования • Определить стратегию тестирования • Спланировать тестирование Задачи и активности • Анализ инфраструктуры • Анализ технологий • Анализ бизнес процессов Артефакты • Тест стратегия • Fingerprinting приложения 19.04.2014 / 20
Проведение тестирования Цель этапа • Поиск уязвимостей • Формирование exploit сценариев Задачи и активности • Выполнение тестов • Фиксирование уязвимостей • Анализ уязвимостей Артефакты • Результаты прохождения тестов • Список уязвимостей • Exploit сценарии 19.04.2014 / 21
Оценка рисков и подготовка отчета Цель этапа • Определение и оценка рисков безопасности • Подготовка рекомендаций по устранению уязвимости • Отчетность Задачи и активности • Риск анализ • Разработка рекомендаций по устранению уязвимостей • Подготовка отчета Артефакты • Risk evaluation матрица • Отчет о проведѐнном тестировании 19.04.2014 / 22
Методика оценки рисков безопасности OWASP Уязвимость безопасности != риску безопасности Величина риска = вероятность * последствия Факторы при оценке риска безопасности по OWASP: 19.04.2014 / 23 Вероятность - Уровень взломщика - Мотивация - Размер группы - Возможность обнаружения - Простота обнаружения - Простота использования - Обнаружение взлома -И др. Вероятность - Финансовые убытки - Репутационные убытки - Личные данные - Потеря данных - Потеря конфиденциальности - И др.
Вопросы? 19.04.2014 / 24
Контакты Буду рад ответить на вопросы, и просто пообщаться: nikeeboy http://www.linkedin.com/in/npostolakiy nikeeboy@gmail.com 19.04.2014 / 25

Recomendados

Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиSQALab
 
очир абушинов
очир абушиновочир абушинов
очир абушиновAlexei Lupan
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеSQALab
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...SEO Conference
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 

Recomendados

Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиSQALab
 
очир абушинов
очир абушиновочир абушинов
очир абушиновAlexei Lupan
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеSQALab
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...SEO Conference
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеbeched
 
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеровDmitry Evteev
 
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"Expolink
 
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivationbeched
 
Svyatoslav Login
Svyatoslav LoginSvyatoslav Login
Svyatoslav LoginDakiry
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложенийSQALab
 
Тестирование доступности ПО для людей с ограниченными возможностями
Тестирование доступности ПО для людей с ограниченными возможностямиТестирование доступности ПО для людей с ограниченными возможностями
Тестирование доступности ПО для людей с ограниченными возможностямиSQALab
 
Дмитрий Евдокимов
Дмитрий ЕвдокимовДмитрий Евдокимов
Дмитрий ЕвдокимовCodeFest
 
Sqa8 urazov
Sqa8 urazovSqa8 urazov
Sqa8 urazovAlexei Lupan
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместеDmitry Evteev
 
Security & penetration testing
Security & penetration testingSecurity & penetration testing
Security & penetration testingGTestClub
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Expolink
 
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...Badoo Development
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Expolink
 
Тестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложенийТестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложенийSQALab
 
CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APICodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APISergey Belov
 

Más contenido relacionado

La actualidad más candente

Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеbeched
 
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеровDmitry Evteev
 
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"Expolink
 
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivationbeched
 
Svyatoslav Login
Svyatoslav LoginSvyatoslav Login
Svyatoslav LoginDakiry
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложенийSQALab
 
Тестирование доступности ПО для людей с ограниченными возможностями
Тестирование доступности ПО для людей с ограниченными возможностямиТестирование доступности ПО для людей с ограниченными возможностями
Тестирование доступности ПО для людей с ограниченными возможностямиSQALab
 
Дмитрий Евдокимов
Дмитрий ЕвдокимовДмитрий Евдокимов
Дмитрий ЕвдокимовCodeFest
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместеDmitry Evteev
 
Security & penetration testing
Security & penetration testingSecurity & penetration testing
Security & penetration testingGTestClub
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Expolink
 
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...Badoo Development
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Expolink
 

La actualidad más candente (20)

Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
 
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеров
 
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
 
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation
 
Svyatoslav Login
Svyatoslav LoginSvyatoslav Login
Svyatoslav Login
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
 
Тестирование доступности ПО для людей с ограниченными возможностями
Тестирование доступности ПО для людей с ограниченными возможностямиТестирование доступности ПО для людей с ограниченными возможностями
Тестирование доступности ПО для людей с ограниченными возможностями
 
Дмитрий Евдокимов
Дмитрий ЕвдокимовДмитрий Евдокимов
Дмитрий Евдокимов
 
Sqa8 urazov
Sqa8 urazovSqa8 urazov
Sqa8 urazov
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместе
 
Security & penetration testing
Security & penetration testingSecurity & penetration testing
Security & penetration testing
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
 
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
 

Destacado

Тестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложенийТестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложенийSQALab
 
CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APICodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APISergey Belov
 
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахCodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахSergey Belov
 
Тестирование Сетевой Безопасности
Тестирование Сетевой БезопасностиТестирование Сетевой Безопасности
Тестирование Сетевой БезопасностиSQALab
 
Безопасность сессий в веб-приложениях
Безопасность сессий в веб-приложенияхБезопасность сессий в веб-приложениях
Безопасность сессий в веб-приложенияхKateryna Ovechenko
 
OWASP Top 10 And Insecure Software Root Causes
OWASP Top 10 And Insecure Software Root CausesOWASP Top 10 And Insecure Software Root Causes
OWASP Top 10 And Insecure Software Root CausesMarco Morana
 
Инструменты для тестирования пользовательского интерфейса UI
Инструменты для тестирования пользовательского интерфейса UIИнструменты для тестирования пользовательского интерфейса UI
Инструменты для тестирования пользовательского интерфейса UIOlesia Velychko
 
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordSergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordqqlan
 
Сергей Татаринцев — Тестирование CSS-регрессий с Gemini
Сергей Татаринцев — Тестирование CSS-регрессий с GeminiСергей Татаринцев — Тестирование CSS-регрессий с Gemini
Сергей Татаринцев — Тестирование CSS-регрессий с GeminiYandex
 
Философия Application Security
Философия Application SecurityФилософия Application Security
Философия Application SecurityVladimir Kochetkov
 
Как разработать защищенное веб-приложение и не сойти при этом с ума (вебинар)
Как разработать защищенное веб-приложение и не сойти при этом с ума (вебинар)Как разработать защищенное веб-приложение и не сойти при этом с ума (вебинар)
Как разработать защищенное веб-приложение и не сойти при этом с ума (вебинар)Vladimir Kochetkov
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Вы и Заказчик: решаем проблемы, а не отрабатываем требования
Вы и Заказчик: решаем проблемы, а не отрабатываем требованияВы и Заказчик: решаем проблемы, а не отрабатываем требования
Вы и Заказчик: решаем проблемы, а не отрабатываем требованияSQALab
 
Ищем иголку в стоге сена. Тестирование Больших данных
Ищем иголку в стоге сена. Тестирование Больших данныхИщем иголку в стоге сена. Тестирование Больших данных
Ищем иголку в стоге сена. Тестирование Больших данныхSQALab
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
"Сгореть" на работе и восстать из пепла
"Сгореть" на работе и восстать из пепла"Сгореть" на работе и восстать из пепла
"Сгореть" на работе и восстать из пеплаSQALab
 
Выгорание и выход из кризиса
Выгорание и выход из кризисаВыгорание и выход из кризиса
Выгорание и выход из кризисаSQALab
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 

Destacado (20)

Тестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложенийТестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложений
 
CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APICodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server API
 
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахCodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
 
Тестирование Сетевой Безопасности
Тестирование Сетевой БезопасностиТестирование Сетевой Безопасности
Тестирование Сетевой Безопасности
 
Безопасность сессий в веб-приложениях
Безопасность сессий в веб-приложенияхБезопасность сессий в веб-приложениях
Безопасность сессий в веб-приложениях
 
OWASP Top 10 And Insecure Software Root Causes
OWASP Top 10 And Insecure Software Root CausesOWASP Top 10 And Insecure Software Root Causes
OWASP Top 10 And Insecure Software Root Causes
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
 
Инструменты для тестирования пользовательского интерфейса UI
Инструменты для тестирования пользовательского интерфейса UIИнструменты для тестирования пользовательского интерфейса UI
Инструменты для тестирования пользовательского интерфейса UI
 
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordSergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real word
 
Сергей Татаринцев — Тестирование CSS-регрессий с Gemini
Сергей Татаринцев — Тестирование CSS-регрессий с GeminiСергей Татаринцев — Тестирование CSS-регрессий с Gemini
Сергей Татаринцев — Тестирование CSS-регрессий с Gemini
 
Философия Application Security
Философия Application SecurityФилософия Application Security
Философия Application Security
 
Как разработать защищенное веб-приложение и не сойти при этом с ума (вебинар)
Как разработать защищенное веб-приложение и не сойти при этом с ума (вебинар)Как разработать защищенное веб-приложение и не сойти при этом с ума (вебинар)
Как разработать защищенное веб-приложение и не сойти при этом с ума (вебинар)
 
План тестирования
План тестированияПлан тестирования
План тестирования
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
 
Вы и Заказчик: решаем проблемы, а не отрабатываем требования
Вы и Заказчик: решаем проблемы, а не отрабатываем требованияВы и Заказчик: решаем проблемы, а не отрабатываем требования
Вы и Заказчик: решаем проблемы, а не отрабатываем требования
 
Ищем иголку в стоге сена. Тестирование Больших данных
Ищем иголку в стоге сена. Тестирование Больших данныхИщем иголку в стоге сена. Тестирование Больших данных
Ищем иголку в стоге сена. Тестирование Больших данных
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
"Сгореть" на работе и восстать из пепла
"Сгореть" на работе и восстать из пепла"Сгореть" на работе и восстать из пепла
"Сгореть" на работе и восстать из пепла
 
Выгорание и выход из кризиса
Выгорание и выход из кризисаВыгорание и выход из кризиса
Выгорание и выход из кризиса
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
 

Similar a Опыт организации тестирования безопасности Web приложений в компании

Организация процесса тестирования в Agile команде с помощью матрицы квадранто...
Организация процесса тестирования в Agile команде с помощью матрицы квадранто...Организация процесса тестирования в Agile команде с помощью матрицы квадранто...
Организация процесса тестирования в Agile команде с помощью матрицы квадранто...Zestranec
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Kiuwan 2015
Kiuwan 2015 Kiuwan 2015
Kiuwan 2015 Softmart
 
How to estimate time for testing
How to estimate time for testingHow to estimate time for testing
How to estimate time for testingAlexandr Zinovyev
 
Как оценить время на тестирование. Александр Зиновьев, Test Lead Softengi
Как оценить время на тестирование. Александр Зиновьев, Test Lead SoftengiКак оценить время на тестирование. Александр Зиновьев, Test Lead Softengi
Как оценить время на тестирование. Александр Зиновьев, Test Lead SoftengiSoftengi
 
Обучение и сертификация специалистов ИБ АСУ ТП
Обучение и сертификация специалистов ИБ АСУ ТПОбучение и сертификация специалистов ИБ АСУ ТП
Обучение и сертификация специалистов ИБ АСУ ТПAnton Shipulin
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
SecDevOps. Разработка, DevOps и безопасность.
SecDevOps. Разработка, DevOps и безопасность.SecDevOps. Разработка, DevOps и безопасность.
SecDevOps. Разработка, DevOps и безопасность.Valery Boronin
 
Python tools for web development (Python meetup Almaty #ALAPY)
Python tools for web development (Python meetup Almaty #ALAPY)Python tools for web development (Python meetup Almaty #ALAPY)
Python tools for web development (Python meetup Almaty #ALAPY)aviatakz
 
Анализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестированияАнализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестированияSQALab
 
Automation from the trenches
Automation from the trenchesAutomation from the trenches
Automation from the trenchesGleb Rybalko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Становление процесса автоматизированного тестирования в интернет-магазине ОКЕЙ
Становление процесса автоматизированного тестирования в интернет-магазине ОКЕЙСтановление процесса автоматизированного тестирования в интернет-магазине ОКЕЙ
Становление процесса автоматизированного тестирования в интернет-магазине ОКЕЙCEE-SEC(R)
 
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...Expolink
 
Как развить отдел тестирования от палки-копалки до CI
Как развить отдел тестирования от палки-копалки до CIКак развить отдел тестирования от палки-копалки до CI
Как развить отдел тестирования от палки-копалки до CICEE-SEC(R)
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 

Similar a Опыт организации тестирования безопасности Web приложений в компании (20)

Introduction to Automation Testing
Introduction to Automation TestingIntroduction to Automation Testing
Introduction to Automation Testing
 
Организация процесса тестирования в Agile команде с помощью матрицы квадранто...
Организация процесса тестирования в Agile команде с помощью матрицы квадранто...Организация процесса тестирования в Agile команде с помощью матрицы квадранто...
Организация процесса тестирования в Agile команде с помощью матрицы квадранто...
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Kiuwan 2015
Kiuwan 2015 Kiuwan 2015
Kiuwan 2015
 
How to estimate time for testing
How to estimate time for testingHow to estimate time for testing
How to estimate time for testing
 
Как оценить время на тестирование. Александр Зиновьев, Test Lead Softengi
Как оценить время на тестирование. Александр Зиновьев, Test Lead SoftengiКак оценить время на тестирование. Александр Зиновьев, Test Lead Softengi
Как оценить время на тестирование. Александр Зиновьев, Test Lead Softengi
 
Обучение и сертификация специалистов ИБ АСУ ТП
Обучение и сертификация специалистов ИБ АСУ ТПОбучение и сертификация специалистов ИБ АСУ ТП
Обучение и сертификация специалистов ИБ АСУ ТП
 
Automation from the trenches
Automation from the trenchesAutomation from the trenches
Automation from the trenches
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
SecDevOps. Разработка, DevOps и безопасность.
SecDevOps. Разработка, DevOps и безопасность.SecDevOps. Разработка, DevOps и безопасность.
SecDevOps. Разработка, DevOps и безопасность.
 
Python tools for web development (Python meetup Almaty #ALAPY)
Python tools for web development (Python meetup Almaty #ALAPY)Python tools for web development (Python meetup Almaty #ALAPY)
Python tools for web development (Python meetup Almaty #ALAPY)
 
Анализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестированияАнализ инструментов автоматизации мобильного тестирования
Анализ инструментов автоматизации мобильного тестирования
 
Automation from the trenches
Automation from the trenchesAutomation from the trenches
Automation from the trenches
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Становление процесса автоматизированного тестирования в интернет-магазине ОКЕЙ
Становление процесса автоматизированного тестирования в интернет-магазине ОКЕЙСтановление процесса автоматизированного тестирования в интернет-магазине ОКЕЙ
Становление процесса автоматизированного тестирования в интернет-магазине ОКЕЙ
 
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
 
Как развить отдел тестирования от палки-копалки до CI
Как развить отдел тестирования от палки-копалки до CIКак развить отдел тестирования от палки-копалки до CI
Как развить отдел тестирования от палки-копалки до CI
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 

Más de SQALab

Готовим стажировку
Готовим стажировкуГотовим стажировку
Готовим стажировкуSQALab
 
Куда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаКуда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаSQALab
 
Оптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиОптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиSQALab
 
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияАвтоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияSQALab
 
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...SQALab
 
Continuous performance testing
Continuous performance testingContinuous performance testing
Continuous performance testingSQALab
 
Конфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженКонфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженSQALab
 
Команда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииКоманда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииSQALab
 
API. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовAPI. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовSQALab
 
Добиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовДобиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовSQALab
 
Делаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsДелаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsSQALab
 
Вредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеВредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеSQALab
 
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииМощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииSQALab
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеКак hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеSQALab
 
Стили лидерства и тестирование
Стили лидерства и тестированиеСтили лидерства и тестирование
Стили лидерства и тестированиеSQALab
 
"Давайте не будем про качество"
"Давайте не будем про качество""Давайте не будем про качество"
"Давайте не будем про качество"SQALab
 
Apache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовApache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовSQALab
 
Тестирование геолокационных систем
Тестирование геолокационных системТестирование геолокационных систем
Тестирование геолокационных системSQALab
 
Лидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросЛидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросSQALab
 
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...SQALab
 

Más de SQALab (20)

Готовим стажировку
Готовим стажировкуГотовим стажировку
Готовим стажировку
 
Куда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаКуда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщика
 
Оптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиОптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержки
 
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияАвтоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
 
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
 
Continuous performance testing
Continuous performance testingContinuous performance testing
Continuous performance testing
 
Конфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженКонфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нужен
 
Команда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииКоманда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихии
 
API. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовAPI. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советов
 
Добиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовДобиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестов
 
Делаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsДелаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIs
 
Вредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеВредные привычки в тест-менеджменте
Вредные привычки в тест-менеджменте
 
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииМощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеКак hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
 
Стили лидерства и тестирование
Стили лидерства и тестированиеСтили лидерства и тестирование
Стили лидерства и тестирование
 
"Давайте не будем про качество"
"Давайте не будем про качество""Давайте не будем про качество"
"Давайте не будем про качество"
 
Apache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовApache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектов
 
Тестирование геолокационных систем
Тестирование геолокационных системТестирование геолокационных систем
Тестирование геолокационных систем
 
Лидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросЛидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопрос
 
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
 

Опыт организации тестирования безопасности Web приложений в компании

  • 1. ОПЫТ ОРГАНИЗАЦИИ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ WEB ПРИЛОЖЕНИЙ НИКИТА ПОСТОЛАКИЙ 10 АПРЕЛЯ 2014
  • 2. Об авторе Никита Постолакий • 8+ лет в IT • PM проектов по тестированию в Itera Consulting • Область интересов: тест дизайн, управление рисками в тестировании, time management • Курирую команду тестирования безопасности web приложений 19.04.2014 / 2
  • 3. Содержание 1. Задача которую необходимо было решить 2. Определение методологии 3. Получение компетенции в тестировании безопасности 4. Тестировщики Security – кто они? Несколько советов по построению команды 5. Основные этапы процесса тестирования безопасности 6. Вопросы 19.04.2014 / 3
  • 4. Задача: 1. Построить процесс тестирования безопасности в компании 2. Создать QA команду тестирования безопасности 3. Не привлекая внешних экспертов 4. В срок 6 месяцев 19.04.2014 / 4
  • 5. Задача Дополнительные параметры проекта: • Виды тестирования безопасности будут определены точнее в ходе проекта • Доступна команда из 3 инженеров с частичной загрузкой • Процесс тестирования должен охватывать полный спектр активностей «под ключ» • Процесс тестирования должен быть достаточно зрелым для продажи клиентам • Необходимо определитьразработать методику тестирования и построить процесс • Необходимо выбрать инструменты и ПО для проведения тестирования • Необходимо подготовить методические материалы – чек-листы, формы Excel, форматы отчетов, планов, стратегий и.т.д. 19.04.2014 / 5
  • 7. OWASP Open Web Application Security Project (OWASP) Некоммерческое сообщество по обеспечению безопасности веб приложений. Основные направления деятельности OWASP: - Создание документации по разработке секьюрного ПО – Development guide - Разработка методологии тестирования безопасности ПО - Testing guide - Разработка ПО для тестирования, анализа, мониторинга и разработки - Материалы для обучения - TOP 10 https://www.owasp.org 19.04.2014 / 7
  • 8. OWASP • Более 200 проектов в области обеспечения безопасности ПО • Сообществом написано15 книг • Локальные сообщества в многих странах (и в Украине!) • Регулярные ивенты в области безопасности ПО • Все проекты доступны бесплатно! 19.04.2014 / 8
  • 9. 19.04.2014 / 9 OWASP – компании поддерживающие сообщество
  • 10. Почему мы решили использовать методику тестирования web приложений OWASP? 19.04.2014 / 10
  • 12. Уровни тестирования безопасности 19.04.2014 / 12 Безопасность инфраструктуры Безопасность приложения Безопасность организации • Сетевой уровень • Серверное ПО • Беспроводные сети • Firewall • VPN • Веб приложения • Мобильные приложения • Desktop приложения • Анализ кода • Моделирование атаки • Тренинги по безопасности • Секьюрити правила • Управление рисками • Business Continuity • Социальная инженерия
  • 13. Тестирование безопасности веб приложений Configuration management • Анализ инфраструктуры • Работа с поисковыми машинами • Проверка серверного ПО Penetration Testing • Валидация данных / Инъекции (SQL, XSS, XML, XPATH, OS Commands, File Uploads etc.) • Тестирование аутентификации • Тестирование авторизации • Session management • DOS атаки Тестирование безопасности бизнес логики Тестирование безопасности веб-сервисов 19.04.2014 / 13
  • 14. Подходы к тестированию 19.04.2014 / 14 • Social Engineering Черный ящик Белый ящик Серый ящик
  • 15. Учебные материалы Методологии тестирования безопасности: – OWASP Testing Guide – Web – Open Source Security Testing Methodology Manual (OSSTMM) Интерактивные учебные курсы – OWASP Web GOAT Книги о тестировании безопасности – OWASP Testing Guide – Web Security Testing Cookbook (Paco Hope, Ben Walther) – Google Hacking for penetration testers (Johnny Long) – Hacking and Securing iOS Applications (Jonathan Zdziarski) – Mobile Application Security (Himanshu Dwivedi) 19.04.2014 / 15
  • 16. Организация тестового окружения для обучения Как огранизовать тестовое окружение для обучения команды и практики на максимально приближенных к реальности примерах. 1. Damn Vulnerable Web Application http://www.dvwa.co.uk/ 2. HACKADEMIC project https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project 3. OWASP Web Goat project https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project 4. OWASP Live CD https://www.owasp.org/index.php/GPC_Project_Details/OWASP_Live_CD 19.04.2014 / 16
  • 17. Временные затраты нашего проекта Обучение: Построение процесса: Пилотный проект: 19.04.2014 / 17 3 месяца 1 месяц 1,5 месяца
  • 18. Построение команды Кто вам нужен что бы провести тестирование безопасности? – Баланс технических знаний и навыков в тестировании – Аналитика и навыки менеджера Наше решение: • 1 PM • 1 Senior QA инженер • 2 технаря (навыки программирования, сетевого администрирования) 19.04.2014 / 18
  • 20. Анализ и сбор информации Цель этапа • Определить scope тестирования • Определить стратегию тестирования • Спланировать тестирование Задачи и активности • Анализ инфраструктуры • Анализ технологий • Анализ бизнес процессов Артефакты • Тест стратегия • Fingerprinting приложения 19.04.2014 / 20
  • 21. Проведение тестирования Цель этапа • Поиск уязвимостей • Формирование exploit сценариев Задачи и активности • Выполнение тестов • Фиксирование уязвимостей • Анализ уязвимостей Артефакты • Результаты прохождения тестов • Список уязвимостей • Exploit сценарии 19.04.2014 / 21
  • 22. Оценка рисков и подготовка отчета Цель этапа • Определение и оценка рисков безопасности • Подготовка рекомендаций по устранению уязвимости • Отчетность Задачи и активности • Риск анализ • Разработка рекомендаций по устранению уязвимостей • Подготовка отчета Артефакты • Risk evaluation матрица • Отчет о проведѐнном тестировании 19.04.2014 / 22
  • 23. Методика оценки рисков безопасности OWASP Уязвимость безопасности != риску безопасности Величина риска = вероятность * последствия Факторы при оценке риска безопасности по OWASP: 19.04.2014 / 23 Вероятность - Уровень взломщика - Мотивация - Размер группы - Возможность обнаружения - Простота обнаружения - Простота использования - Обнаружение взлома -И др. Вероятность - Финансовые убытки - Репутационные убытки - Личные данные - Потеря данных - Потеря конфиденциальности - И др.
  • 25. Контакты Буду рад ответить на вопросы, и просто пообщаться: nikeeboy http://www.linkedin.com/in/npostolakiy nikeeboy@gmail.com 19.04.2014 / 25