narzędzia do zautomatyzowanego testowania bezpieczeństwa...
TRANSCRIPT
Narzędzia do zautomatyzowanego
testowania bezpieczeństwa aplikacji WWW
Borys Łącki
2016.02.20
● Testy penetracyjne● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne
Borys Łącki> 10 lat - testy bezpieczeństwa i edukacja
www.bothunters.pl ~ 8 lat blogowania o cyberprzestępcach
Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)
Testy bezpieczeństwa
Szukanie podatności (defektów)
Test penetracyjny – „proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.”
Wikipedia
Niezamówiony test penetracyjny
Kodeks Karny
Przestępstwa przeciwko ochronie informacji
(…) podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Kodeks Karny, Przestępstwa przeciwko ochronie informacji
Testy bezpieczeństwa
Przychodzi tester do baru i zamawia drinka. Zamawia 10 drinków.
Zamawia 99999999999 drinków. Odchodzi od baru, podchodzi ponownie, odchodzi od baru podchodzi ponownie, zamawia
-8 drinków.
Zamawia szynę kolejową.
Czy:
● istnieje sposób na kradzież informacji z bazy danych?
● aplikacja może zaatakować użytkownika?
● możemy wykonać określoną akcję jako inny użytkownik (np. admin)?
● można zablokować/unieruchomić aplikację?
● podsłuchując transmisję możemy wykraść dane uwierzytelniające? (hasło?)
Incydent bezpieczeństwa
Wiedza
The Open Web Application Security Project (OWASP) is a worldwide not-for-profit charitable organization focused on improving the security of software.
HTTPS://WWW.OWASP.ORG
Automat vs. Manual
● Koszt● Czas● Jakość
Testy manualneTesty zautomatyzowane
Automat vs. Manual
MANUAL
AUTOMAT
MANUAL
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
AUTOMAT
Oprogramowanie● $$$
Acunetix, Burp Suite, IBM AppScan, Netsparker, N-Stalker Enterprise, NTOSpider, Syhunt Dynamic, WebCruiser, WebInspect (…)
● free/open source
arachni, IronWASP, Netsparker Community Edition, N-Stalker Free Edition, Skipfish, Syhunt Mini, VEGA, W3AF, Wapiti, WATOBO, XSSer, Zed Attack Proxy (ZAP), (...)
Price and Feature Comparison of Web Application Scanners:http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.htmlhttp://www.gallop.net/pdf/white-papers/Security-Testing-WhitePaper.pdf
Wybór skanera● GUI, konsola, OS● Technologia, atak, rodzaj testów● Zapisywanie pracy (logi)● API (automatyzacja, rozbudowa, wtyczki, własne
słowniki)● Raporty (retest podatności)● Konfiguracja (rodzaje testów, wielowątkowość)● Dokumentacja● Stabilność● Obsługa sesji● Import (URL, inne skanery)
Arachni
Arachni
Arachni
Arachni
w3af
w3af
XSSer
SQLmap
OWASP DirBuster
WPScan
WPScan
1. Konfiguracja
Problemy
● Obsługa sesji (zalogowany/wylogowany)● Tokeny CSRF● „Testy wydajnościowe”● Wybór ataków● Aktualizacja ataków
2. Spider / Crawler
Problemy
● REST● Flash, Silverlight, (...)● JavaScript● Ograniczone pokrycie● Pętla
3. Aktywne skanowanie
3. Aktywne skanowanie
3. Aktywne skanowanie
Problemy
● Obsługa sesji - monitoring● Błędy logiczne/biznesowe● Akcje złożone z wielu etapów
4. Raport
Problemy
● Opis podatności● Retest podatności● Eksport danych● Wiedza● False positives
The web application under test seems to be in a shared hosting. This list of domains, and the domain of the web application under test, all point to the same IP address:
www.microsoft.com
SSL LABS
Podsumowanie
● Zdobyć podstawową wiedzę● Dobrać narzędzie do potrzeb● Zadbać o optymalną konfigurację● Weryfikować w trakcie pracy● Opisać defekty/podatności :)
● Manual > Automat
WWWhttps://zaufanatrzeciastrona.pl/
http://sekurak.pl/
https://niebezpiecznik.pl/
https://www.owasp.org
https://www.ssllabs.com/ssltest/
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
http://www.arachni-scanner.com/
http://sqlmap.org/
http://wpscan.org/
http://xsser.03c8.net/
https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project
http://w3af.org/
http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.htmlhttp://www.gallop.net/pdf/white-papers/Security-Testing-WhitePaper.pdf