QualysGuard WAS

Implementace v ČNB

Ing. Tomáš KlímaIng. Tomáš Klíma

Důvody zavedení Důvody zavedení

• „86% of all websites had at least one serious vulnerability“

The WhiteHat Website Security Statistics Report, 2013

• „99% of tested applications have vulnerabilities“

Cenzic Application Vulnerability Trends Report, 2013

2

Důvody zavedení Důvody zavedení

• „86% of all websites had at least one serious vulnerability“

The WhiteHat Website Security Statistics Report, 2013

• „99% of tested applications have vulnerabilities“

Cenzic Application Vulnerability Trends Report, 2013

+ požadavek interního auditu

3

Současný stav Současný stav 4

• 5 licencí (3x vývojové verze, 2x ostrá – požadavek od

vlastníků aplikací na testování všech v ostré verzi)• V provozu od 7/2013• Během 3Q/2012 testovací provoz – „demoverze“

WAS LifecycleWAS Lifecycle 5

Praktické zkušenostiPraktické zkušenosti 6

Příprava skenů•Několik typů autentizace – využití certifikátů, Selenium skriptů, dále nastavení FW•Discovery sken – ověření definice scopu, identifikace „nebezpečných“ formulářů, ověření funkční autentizace

Praktické zkušenostiPraktické zkušenosti 7

Samotný (vulnerability) sken•Limit 8000 pages per aplikace•Možnost nastavení intenzity skenu

Praktické zkušenostiPraktické zkušenosti 8

Samotný sken•Limit 8000 pages per aplikace•Možnost nastavení intenzity skenu

Praktické zkušenostiPraktické zkušenosti 9

Reporting•Od testovacího provozu (2012) značné zlepšení reportů•Analýza reportu vyžaduje znalost problematiky webaplikací a OWASP zranitelností•Nutná konzultace nalezených zranitelností s vývojáři•Vhodné manuální ověření nalezených zranitelností.

Díky za pozornost

QQ & A& A 10