Post on 18-Nov-2014
description
transcript
QualysGuard WAS
Implementace v ČNB
Ing. Tomáš KlímaIng. Tomáš Klíma
Důvody zavedení Důvody zavedení
• „86% of all websites had at least one serious vulnerability“
The WhiteHat Website Security Statistics Report, 2013
• „99% of tested applications have vulnerabilities“
Cenzic Application Vulnerability Trends Report, 2013
2
Důvody zavedení Důvody zavedení
• „86% of all websites had at least one serious vulnerability“
The WhiteHat Website Security Statistics Report, 2013
• „99% of tested applications have vulnerabilities“
Cenzic Application Vulnerability Trends Report, 2013
+ požadavek interního auditu
3
Současný stav Současný stav 4
• 5 licencí (3x vývojové verze, 2x ostrá – požadavek od
vlastníků aplikací na testování všech v ostré verzi)• V provozu od 7/2013• Během 3Q/2012 testovací provoz – „demoverze“
WAS LifecycleWAS Lifecycle 5
Praktické zkušenostiPraktické zkušenosti 6
Příprava skenů•Několik typů autentizace – využití certifikátů, Selenium skriptů, dále nastavení FW•Discovery sken – ověření definice scopu, identifikace „nebezpečných“ formulářů, ověření funkční autentizace
Praktické zkušenostiPraktické zkušenosti 7
Samotný (vulnerability) sken•Limit 8000 pages per aplikace•Možnost nastavení intenzity skenu
Praktické zkušenostiPraktické zkušenosti 8
Samotný sken•Limit 8000 pages per aplikace•Možnost nastavení intenzity skenu
Praktické zkušenostiPraktické zkušenosti 9
Reporting•Od testovacího provozu (2012) značné zlepšení reportů•Analýza reportu vyžaduje znalost problematiky webaplikací a OWASP zranitelností•Nutná konzultace nalezených zranitelností s vývojáři•Vhodné manuální ověření nalezených zranitelností.
Díky za pozornost
QQ & A& A 10