web application scanning (was)
DESCRIPTION
Web Application Scanning (WAS)TRANSCRIPT
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Web Application Scanning
RAC QualysGuard InfoDay 2010 1
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 2
Co to je webová aplikaceZákaznická aplikace založená převážně na HTML protokoluJako klientské prostředí je použit webový prohlížeč (Microsoft Explorer, Mozilla Firefox, Opera)Serverové prostředí založeno na webovém engine (Apache, IIS)Logika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java)
Příklad webových aplikacíPortálInformační systémInternetový obchod, Internetové bankovnictvíIntranetová / extranetová aplikaceRedakční systém, CMS
Webová aplikace
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Příklad webové aplikace
RAC QualysGuard InfoDay 2010 3
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 4
Které zranitelnosti najde QualysGuard VMZranitelnosti hostitelského serveru (Windows server, Linux)Zranitelnosti webového engine (Apache, IIS)Zranitelnosti skriptovacích jazyků (PHP, ASP, Java)Chyby v šifrování u SSL/HTTPSZranitelnosti známých webových aplikací (OpenSource, CMS)
Které zranitelnosti nenajde QualysGuard VMNeprohledává strukturu webové aplikace do hloubkyChybové stránky uvnitř aplikaceZranitelnosti nedostatečné validace vstupních parametrů (SQL Injection apod..)Webové servery vyžadující autentizaci
Co testuje QualysGuard VM
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Modul - Web Application Scanning
RAC QualysGuard InfoDay 2010 5
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Základní údaje webové aplikace
RAC QualysGuard InfoDay 2010 6
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 7
Serverové přihlašováníPoužito na některých webových serverech
Několik typů přihlašovaníBasicDigestNTLM
Přihlašovací informace
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Zadání přihlašovacích údajů do WAS
RAC QualysGuard InfoDay 2010 8
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 9
Formulářové přihlašováníPoužívá většina webů Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různéPři přihlašování použity často další skryté parametry, např. cookies
Formulářové přihlašování
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 10
Nutno zadat přihlašovací informaceNení úplně triviální, nutno ve spolupráci s vývojářem nebo použít pomocné nástroje Vhodné použít např. pluginy do Mozilly Firefox: LiveHTTPHeaders, Tamper DataUmožňují zobrazit textová html data mezi serverem a klientem
Příklad dat:
loggedURL=http%3A%2F%2Femail.seznam.cz%2Fticket&serviceId=email&forceSSL=0&username=novak&domain=seznam.cz&password=aaaa&js=1
Získání údajů pro formulářové přihlášení
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Vkládání přihlašovacích údajů
RAC QualysGuard InfoDay 2010 11
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 12
Black listV jaké části aplikace nemá probíhat testování Odkazy pro odhlášení, změna hesla, administrace uživatele
White listV jaké části aplikace má probíhat testování Vhodné pro testování pouze části aplikace , např. u rozsáhlých webových aplikací
Brute forcePrověří přihlašovací formulář na kombinaci jmen a hesel
Vyhledání citlivých informacíČísla kreditních karetVýskyt libovolného textového řetězce
Další volitelné parametry testování
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Spuštění testu webové aplikace
RAC QualysGuard InfoDay 2010 13
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Výsledný protokol WAS
RAC QualysGuard InfoDay 2010 14
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 15
Všeobecné informaceStruktura webové aplikaceOdkazy na externí weby, vadné odkazy, seznam emailůVlastnosti Session, Cookies, formulářů
SQL InjectionZpůsobeno nedostatečnou validací vstupů Umožňuje získat data z databáze nebo obejít přístupová práva aplikace
XSS Cross-site scripting Způsobeno nedostatečnou validací vstupůUmožňují podvrhnout část obsahu webu
Další zranitelnostiStránky generující chybová hlášeníSoubory, adresáře, výpisy adresářůNálezy citlivých informací
Typy nálezů WAS
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 16
WAS poskytuje následující výhodyAutomatické testování webové aplikace, možnost sledování změn v čase, audit přístupových práv uživatelůProhledání celé struktury aplikace včetně autentizaceTestovací algoritmus vyvíjen na základě uznávané metodologie Open Web Application Security Project (OWASP)
Odlišnosti od klasického penetračního testováníNutnost větší spolupráce s vývojáři, nálezy jsou obtížněji interpretovatelnéNenajde zranitelnosti související např. se špatnou logikou přístupových práv aplikace, session stealingRuční testování specialistou na bezpečnost webové aplikace je nutné pro komplexní kontrolu bezpečnostiWAS současí QualysuGuard od 4Q2010, vývoj neustále probíhá, přes 10 verzí
Shrnutí WAS