was 2.0 (2011)
DESCRIPTION
TRANSCRIPT
![Page 1: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/1.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Web Application Scanning
RAC QualysGuard InfoDay 2011 1
![Page 2: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/2.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 2
Co to je webová aplikaceAplikace klient x server založená převážně na HTML protokoluLogika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java)Každá aplikace je jiná a jedinečná
Webová aplikace
![Page 3: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/3.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 3
Které zranitelnosti najde QualysGuard VMZranitelnosti hostitelského serveru (Windows server, Linux)Zranitelnosti webového engine (Apache, IIS)Zranitelnosti skriptovacích jazyků (PHP, ASP, Java)Chyby v šifrování u SSL/HTTPSZranitelnosti známých webových aplikací (OpenSource, CMS)
Které zranitelnosti nenajde QualysGuard VMNeprohledává strukturu webové aplikace do hloubkyObsah stránek, chybové stránky uvnitř aplikaceZranitelnosti nedostatečné validace vstupních parametrů (SQL Injection apod..)Webové servery vyžadující autentizaci
Co testuje QualysGuard VM
![Page 4: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/4.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 4
Všeobecné informaceStruktura webové aplikaceOdkazy na externí weby, vadné odkazy, seznam emailůVlastnosti Session, Cookies, formulářů
SQL InjectionZpůsobeno nedostatečnou validací vstupů Umožňuje získat data z databáze nebo obejít přístupová práva aplikace
XSS Cross-site scripting Způsobeno nedostatečnou validací vstupůUmožňují podvrhnout část obsahu webu
Další zranitelnostiStránky generující chybová hlášeníSoubory, adresáře, výpisy adresářůNálezy citlivých informací
Modul WAS - Co testuje ?
![Page 5: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/5.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 5
Nová verze WAS 2.0Pravděpodobně v Q3 2011Zatím pouze beta verze pro vybrané zákazníkyNení dosud plná funkčnost aplikace
Hlavní změnyZcela nové UIPodpora testování webových aplikací s JavaScriptem a embeded FlashRozšířené reportovací možnostiTagy
WAS 2.0
![Page 6: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/6.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Nové interaktivní UI
RAC QualysGuard InfoDay 2011 6
![Page 7: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/7.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 7
Možnost využití Využití výsledků mapováníVytváření katalogu všech web aplikací (http, https)
Funkce pro katalogizaci web aplikací
![Page 8: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/8.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Průvodce pro konfiguraci
RAC QualysGuard InfoDay 2011 8
![Page 9: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/9.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Průvodce pro autentizaci
RAC QualysGuard InfoDay 2011 9
![Page 10: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/10.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 10
Formulářové přihlašováníPoužívá většina webů Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různéPři přihlašování použity často další skryté parametry, např. cookies
Formulářové přihlašování - popis
![Page 11: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/11.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 11
Nutno zadat přihlašovací informaceNení úplně triviální, nutno ve spolupráci s vývojářem nebo použít pomocné nástroje Vhodné použít např. pluginy do Mozilly Firefox: LiveHTTPHeaders, Tamper DataUmožňují zobrazit textová html data mezi serverem a klientem
Příklad dat:
loggedURL=http%3A%2F%2Femail.seznam.cz%2Fticket&serviceId=email&forceSSL=0&username=novak&domain=seznam.cz&password=aaaa&js=1
Získání údajů pro formulářové přihlášení
![Page 12: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/12.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Přehledy výsledků
RAC QualysGuard InfoDay 2011 12
![Page 13: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/13.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Interaktivní reporty
RAC QualysGuard InfoDay 2011 13
![Page 14: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/14.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0Reporty
RAC QualysGuard InfoDay 2011 14
![Page 15: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/15.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0Reporty
RAC QualysGuard InfoDay 2011 15
![Page 16: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/16.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Stav testování dle OWASP Top 10
RAC QualysGuard InfoDay 2011 16
Typ stavA1 - Injection Komplexně
A2 - Cross Site Scripting (XSS) Komplexně
A3 – Broken Authentication and Session Management Částečně
A3 - Malicious File Execution Částečně
A4 - Insecure Direct Object Reference Částečně
A5 - Cross Site Request Forgery Částečně
A6 – Information Leakage and Bad Error Handling Komplexně
A7 – Insecure Cryptographic Storage Nelze
A8 - Failure to Restrict URL Access Q4 2011
A9 – Insecure Transport Layer Protection Částečně
A10 – Unvalidated Redirects and Forwards Q2 2011
Open Web Application Security ProjectNejdůležitější metodologie pro testování webových aplikací
![Page 17: WAS 2.0 (2011)](https://reader033.vdocuments.pub/reader033/viewer/2022061120/546c34a0af79596c298b4ec0/html5/thumbnails/17.jpg)
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 17
WAS poskytuje následující výhodyAutomatické testování webové aplikace, možnost sledování změn v čase, audit přístupových práv uživatelůProhledání celé struktury aplikace včetně autentizaceMetodologie testování vychází z Web Application Security Project (OWASP)
Odlišnosti od klasického penetračního testováníNutnost větší spolupráce s vývojáři, nálezy jsou obtížněji interpretovatelnéNenajde zranitelnosti související např. se špatnou logikou přístupových práv aplikace, session stealingRuční testování specialistou na bezpečnost webové aplikace je nutné pro komplexní kontrolu bezpečnosti
Shrnutí WAS