Konferencja TestFest - 20.02.2016 - Wrocław Prezentacja ma za zadanie przedstawić zestaw narzędzi ułatwiających zautomatyzowane testy bezpieczeństwa aplikacji webowych. Dodatkowo zostaną omówione wady i zalety każdego z rozwiązań.

1. Narzędzia
do zautomatyzowanego
testowania bezpieczeństwa
aplikacji WWW
Borys Łącki
2016.02.20

2. ● Testy penetracyjne
● Audyty bezpieczeństwa
● Szkolenia
● Konsultacje
● Informatyka śledcza
● Aplikacje mobilne
Borys Łącki
> 10 lat - testy bezpieczeństwa i edukacja
www.bothunters.pl ~ 8 lat blogowania o cyberprzestępcach
Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking
Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)

3. Testy bezpieczeństwa
Szukanie podatności (defektów)
Test penetracyjny – „proces polegający na
przeprowadzeniu kontrolowanego ataku na system
teleinformatyczny, mający na celu praktyczną ocenę
bieżącego stanu bezpieczeństwa tego systemu,
w szczególności obecności znanych podatności
i odporności na próby przełamania zabezpieczeń.”
Wikipedia

4. Niezamówiony test penetracyjny
Kodeks Karny
Przestępstwa przeciwko ochronie informacji
(…) podlega karze pozbawienia
wolności od 3 miesięcy do lat 5.
Kodeks Karny, Przestępstwa przeciwko ochronie informacji

5. Testy bezpieczeństwa
Przychodzi tester do baru i zamawia drinka. Zamawia 10 drinków.
Zamawia 99999999999 drinków. Odchodzi od baru, podchodzi
ponownie, odchodzi od baru podchodzi ponownie, zamawia
-8 drinków.
Zamawia szynę kolejową.
Czy:
● istnieje sposób na kradzież informacji z bazy danych?
● aplikacja może zaatakować użytkownika?
● możemy wykonać określoną akcję jako inny użytkownik (np. admin)?
● można zablokować/unieruchomić aplikację?
● podsłuchując transmisję możemy wykraść dane uwierzytelniające? (hasło?)

6. Incydent bezpieczeństwa

7. Wiedza
The Open Web Application Security Project
(OWASP) is a worldwide not-for-profit charitable
organization focused on improving the security of
software.
HTTPS://WWW.OWASP.ORG

8. Automat vs. Manual
● Koszt
● Czas
● Jakość
Testy manualneTesty zautomatyzowane

9. Automat vs. Manual
M
A
N
U
A
L
A
U
T
O
M
A
T
M
A
N
U
A
L
A
U
T
O
M
A
T
A
U
T
O
M
A
T
A
U
T
O
M
A
T
A
U
T
O
M
A
T
A
U
T
O
M
A
T
A
U
T
O
M
A
T
A
U
T
O
M
A
T
A
U
T
O
M
A
T
A
U
T
O
M
A
T
A
U
T
O
M
A
T
A
U
T
O
M
A
T
A
U
T
O
M
A
T

10. Oprogramowanie
● $$$
Acunetix, Burp Suite, IBM AppScan, Netsparker, N-
Stalker Enterprise, NTOSpider, Syhunt Dynamic,
WebCruiser, WebInspect (…)
● free/open source
arachni, IronWASP, Netsparker Community Edition, N-
Stalker Free Edition, Skipfish, Syhunt Mini, VEGA,
W3AF, Wapiti, WATOBO, XSSer, Zed Attack Proxy
(ZAP), (...)
Price and Feature Comparison of Web Application Scanners:
http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html
http://www.gallop.net/pdf/white-papers/Security-Testing-WhitePaper.pdf

11. Wybór skanera
● GUI, konsola, OS
● Technologia, atak, rodzaj testów
● Zapisywanie pracy (logi)
● API (automatyzacja, rozbudowa, wtyczki, własne
słowniki)
● Raporty (retest podatności)
● Konfiguracja (rodzaje testów, wielowątkowość)
● Dokumentacja
● Stabilność
● Obsługa sesji
● Import (URL, inne skanery)

12. Arachni

13. Arachni

14. Arachni

15. Arachni

16. w3af

17. w3af

18. XSSer

19. SQLmap

20. OWASP DirBuster

21. WPScan

22. WPScan

24. 1. Konfiguracja

25. Problemy
● Obsługa sesji (zalogowany/wylogowany)
● Tokeny CSRF
● „Testy wydajnościowe”
● Wybór ataków
● Aktualizacja ataków

26. 2. Spider / Crawler

27. Problemy
● REST
● Flash, Silverlight, (...)
● JavaScript
● Ograniczone pokrycie
● Pętla

28. 3. Aktywne skanowanie

29. 3. Aktywne skanowanie

30. 3. Aktywne skanowanie

31. Problemy
● Obsługa sesji - monitoring
● Błędy logiczne/biznesowe
● Akcje złożone z wielu etapów

32. 4. Raport

33. Problemy
● Opis podatności
● Retest podatności
● Eksport danych
● Wiedza
● False positives
The web application under test seems to be in a shared hosting. This
list of domains, and the domain of the web application under test, all
point to the same IP address:
www.microsoft.com

34. SSL LABS

35. Podsumowanie
● Zdobyć podstawową wiedzę
● Dobrać narzędzie do potrzeb
● Zadbać o optymalną konfigurację
● Weryfikować w trakcie pracy
● Opisać defekty/podatności :)
● Manual > Automat

36. WWW
https://zaufanatrzeciastrona.pl/
http://sekurak.pl/
https://niebezpiecznik.pl/
https://www.owasp.org
https://www.ssllabs.com/ssltest/
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
http://www.arachni-scanner.com/
http://sqlmap.org/
http://wpscan.org/
http://xsser.03c8.net/
https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project
http://w3af.org/
http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-l
ist.html
http://www.gallop.net/pdf/white-papers/Security-Testing-WhitePaper.pdf

37. Dziękuję za uwagę
Pytania?
Borys Łącki
b.lacki@logicaltrust.net