![Page 1: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/1.jpg)
Narzędzia do zautomatyzowanego
testowania bezpieczeństwa aplikacji WWW
Borys Łącki
2016.02.20
![Page 2: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/2.jpg)
● Testy penetracyjne● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne
Borys Łącki> 10 lat - testy bezpieczeństwa i edukacja
www.bothunters.pl ~ 8 lat blogowania o cyberprzestępcach
Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)
![Page 3: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/3.jpg)
Testy bezpieczeństwa
Szukanie podatności (defektów)
Test penetracyjny – „proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.”
Wikipedia
![Page 4: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/4.jpg)
Niezamówiony test penetracyjny
Kodeks Karny
Przestępstwa przeciwko ochronie informacji
(…) podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Kodeks Karny, Przestępstwa przeciwko ochronie informacji
![Page 5: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/5.jpg)
Testy bezpieczeństwa
Przychodzi tester do baru i zamawia drinka. Zamawia 10 drinków.
Zamawia 99999999999 drinków. Odchodzi od baru, podchodzi ponownie, odchodzi od baru podchodzi ponownie, zamawia
-8 drinków.
Zamawia szynę kolejową.
Czy:
● istnieje sposób na kradzież informacji z bazy danych?
● aplikacja może zaatakować użytkownika?
● możemy wykonać określoną akcję jako inny użytkownik (np. admin)?
● można zablokować/unieruchomić aplikację?
● podsłuchując transmisję możemy wykraść dane uwierzytelniające? (hasło?)
![Page 6: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/6.jpg)
Incydent bezpieczeństwa
![Page 7: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/7.jpg)
Wiedza
The Open Web Application Security Project (OWASP) is a worldwide not-for-profit charitable organization focused on improving the security of software.
HTTPS://WWW.OWASP.ORG
![Page 8: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/8.jpg)
Automat vs. Manual
● Koszt● Czas● Jakość
Testy manualneTesty zautomatyzowane
![Page 9: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/9.jpg)
Automat vs. Manual
MANUAL
AUTOMAT
MANUAL
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
![Page 10: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/10.jpg)
Oprogramowanie● $$$
Acunetix, Burp Suite, IBM AppScan, Netsparker, N-Stalker Enterprise, NTOSpider, Syhunt Dynamic, WebCruiser, WebInspect (…)
● free/open source
arachni, IronWASP, Netsparker Community Edition, N-Stalker Free Edition, Skipfish, Syhunt Mini, VEGA, W3AF, Wapiti, WATOBO, XSSer, Zed Attack Proxy (ZAP), (...)
Price and Feature Comparison of Web Application Scanners:http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.htmlhttp://www.gallop.net/pdf/white-papers/Security-Testing-WhitePaper.pdf
![Page 11: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/11.jpg)
Wybór skanera● GUI, konsola, OS● Technologia, atak, rodzaj testów● Zapisywanie pracy (logi)● API (automatyzacja, rozbudowa, wtyczki, własne
słowniki)● Raporty (retest podatności)● Konfiguracja (rodzaje testów, wielowątkowość)● Dokumentacja● Stabilność● Obsługa sesji● Import (URL, inne skanery)
![Page 12: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/12.jpg)
Arachni
![Page 13: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/13.jpg)
Arachni
![Page 14: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/14.jpg)
Arachni
![Page 15: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/15.jpg)
Arachni
![Page 16: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/16.jpg)
w3af
![Page 17: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/17.jpg)
w3af
![Page 18: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/18.jpg)
XSSer
![Page 19: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/19.jpg)
SQLmap
![Page 20: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/20.jpg)
OWASP DirBuster
![Page 21: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/21.jpg)
WPScan
![Page 22: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/22.jpg)
WPScan
![Page 23: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/23.jpg)
![Page 24: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/24.jpg)
1. Konfiguracja
![Page 25: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/25.jpg)
Problemy
● Obsługa sesji (zalogowany/wylogowany)● Tokeny CSRF● „Testy wydajnościowe”● Wybór ataków● Aktualizacja ataków
![Page 26: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/26.jpg)
2. Spider / Crawler
![Page 27: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/27.jpg)
Problemy
● REST● Flash, Silverlight, (...)● JavaScript● Ograniczone pokrycie● Pętla
![Page 28: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/28.jpg)
3. Aktywne skanowanie
![Page 29: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/29.jpg)
3. Aktywne skanowanie
![Page 30: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/30.jpg)
3. Aktywne skanowanie
![Page 31: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/31.jpg)
Problemy
● Obsługa sesji - monitoring● Błędy logiczne/biznesowe● Akcje złożone z wielu etapów
![Page 32: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/32.jpg)
4. Raport
![Page 33: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/33.jpg)
Problemy
● Opis podatności● Retest podatności● Eksport danych● Wiedza● False positives
The web application under test seems to be in a shared hosting. This list of domains, and the domain of the web application under test, all point to the same IP address:
www.microsoft.com
![Page 34: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/34.jpg)
SSL LABS
![Page 35: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/35.jpg)
Podsumowanie
● Zdobyć podstawową wiedzę● Dobrać narzędzie do potrzeb● Zadbać o optymalną konfigurację● Weryfikować w trakcie pracy● Opisać defekty/podatności :)
● Manual > Automat
![Page 36: Narzędzia do zautomatyzowanego testowania bezpieczeństwa ...cluster011.ovh.net/~testfestav/wp-content/uploads/... · Oprogramowanie $$$ Acunetix, Burp Suite, IBM AppScan, Netsparker,](https://reader034.vdocuments.pub/reader034/viewer/2022050603/5faa56412f21392f6d1333be/html5/thumbnails/36.jpg)
WWWhttps://zaufanatrzeciastrona.pl/
http://sekurak.pl/
https://niebezpiecznik.pl/
https://www.owasp.org
https://www.ssllabs.com/ssltest/
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
http://www.arachni-scanner.com/
http://sqlmap.org/
http://wpscan.org/
http://xsser.03c8.net/
https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project
http://w3af.org/
http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.htmlhttp://www.gallop.net/pdf/white-papers/Security-Testing-WhitePaper.pdf