Konferencja TestFest - 20.02.2016 - Wrocław
Prezentacja ma za zadanie przedstawić zestaw narzędzi ułatwiających zautomatyzowane testy bezpieczeństwa aplikacji webowych. Dodatkowo zostaną omówione wady i zalety każdego z rozwiązań.
2. ● Testy penetracyjne
● Audyty bezpieczeństwa
● Szkolenia
● Konsultacje
● Informatyka śledcza
● Aplikacje mobilne
Borys Łącki
> 10 lat - testy bezpieczeństwa i edukacja
www.bothunters.pl ~ 8 lat blogowania o cyberprzestępcach
Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking
Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)
3. Testy bezpieczeństwa
Szukanie podatności (defektów)
Test penetracyjny – „proces polegający na
przeprowadzeniu kontrolowanego ataku na system
teleinformatyczny, mający na celu praktyczną ocenę
bieżącego stanu bezpieczeństwa tego systemu,
w szczególności obecności znanych podatności
i odporności na próby przełamania zabezpieczeń.”
Wikipedia
4. Niezamówiony test penetracyjny
Kodeks Karny
Przestępstwa przeciwko ochronie informacji
(…) podlega karze pozbawienia
wolności od 3 miesięcy do lat 5.
Kodeks Karny, Przestępstwa przeciwko ochronie informacji
5. Testy bezpieczeństwa
Przychodzi tester do baru i zamawia drinka. Zamawia 10 drinków.
Zamawia 99999999999 drinków. Odchodzi od baru, podchodzi
ponownie, odchodzi od baru podchodzi ponownie, zamawia
-8 drinków.
Zamawia szynę kolejową.
Czy:
● istnieje sposób na kradzież informacji z bazy danych?
● aplikacja może zaatakować użytkownika?
● możemy wykonać określoną akcję jako inny użytkownik (np. admin)?
● można zablokować/unieruchomić aplikację?
● podsłuchując transmisję możemy wykraść dane uwierzytelniające? (hasło?)
7. Wiedza
The Open Web Application Security Project
(OWASP) is a worldwide not-for-profit charitable
organization focused on improving the security of
software.
HTTPS://WWW.OWASP.ORG
33. Problemy
● Opis podatności
● Retest podatności
● Eksport danych
● Wiedza
● False positives
The web application under test seems to be in a shared hosting. This
list of domains, and the domain of the web application under test, all
point to the same IP address:
www.microsoft.com
35. Podsumowanie
● Zdobyć podstawową wiedzę
● Dobrać narzędzie do potrzeb
● Zadbać o optymalną konfigurację
● Weryfikować w trakcie pracy
● Opisać defekty/podatności :)
● Manual > Automat