17
www.rac.cz Risk Analysis Consultants V060420 Web Application Scanning RAC QualysGuard InfoDay 2011 1
| Date post: | 18-Nov-2014 |
| Category: |
Documents |
| Upload: | risk-analysis-consultants-sro |
| View: | 643 times |
| Download: | 10 times |
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Web Application Scanning
RAC QualysGuard InfoDay 2011 1
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 2
Co to je webová aplikaceAplikace klient x server založená převážně na HTML protokoluLogika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java)Každá aplikace je jiná a jedinečná
Webová aplikace
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 3
Které zranitelnosti najde QualysGuard VMZranitelnosti hostitelského serveru (Windows server, Linux)Zranitelnosti webového engine (Apache, IIS)Zranitelnosti skriptovacích jazyků (PHP, ASP, Java)Chyby v šifrování u SSL/HTTPSZranitelnosti známých webových aplikací (OpenSource, CMS)
Které zranitelnosti nenajde QualysGuard VMNeprohledává strukturu webové aplikace do hloubkyObsah stránek, chybové stránky uvnitř aplikaceZranitelnosti nedostatečné validace vstupních parametrů (SQL Injection apod..)Webové servery vyžadující autentizaci
Co testuje QualysGuard VM
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 4
Všeobecné informaceStruktura webové aplikaceOdkazy na externí weby, vadné odkazy, seznam emailůVlastnosti Session, Cookies, formulářů
SQL InjectionZpůsobeno nedostatečnou validací vstupů Umožňuje získat data z databáze nebo obejít přístupová práva aplikace
XSS Cross-site scripting Způsobeno nedostatečnou validací vstupůUmožňují podvrhnout část obsahu webu
Další zranitelnostiStránky generující chybová hlášeníSoubory, adresáře, výpisy adresářůNálezy citlivých informací
Modul WAS - Co testuje ?
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 5
Nová verze WAS 2.0Pravděpodobně v Q3 2011Zatím pouze beta verze pro vybrané zákazníkyNení dosud plná funkčnost aplikace
Hlavní změnyZcela nové UIPodpora testování webových aplikací s JavaScriptem a embeded FlashRozšířené reportovací možnostiTagy
WAS 2.0
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Nové interaktivní UI
RAC QualysGuard InfoDay 2011 6
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 7
Možnost využití Využití výsledků mapováníVytváření katalogu všech web aplikací (http, https)
Funkce pro katalogizaci web aplikací
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Průvodce pro konfiguraci
RAC QualysGuard InfoDay 2011 8
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Průvodce pro autentizaci
RAC QualysGuard InfoDay 2011 9
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 10
Formulářové přihlašováníPoužívá většina webů Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různéPři přihlašování použity často další skryté parametry, např. cookies
Formulářové přihlašování - popis
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 11
Nutno zadat přihlašovací informaceNení úplně triviální, nutno ve spolupráci s vývojářem nebo použít pomocné nástroje Vhodné použít např. pluginy do Mozilly Firefox: LiveHTTPHeaders, Tamper DataUmožňují zobrazit textová html data mezi serverem a klientem
Příklad dat:
loggedURL=http%3A%2F%2Femail.seznam.cz%2Fticket&serviceId=email&forceSSL=0&username=novak&domain=seznam.cz&password=aaaa&js=1
Získání údajů pro formulářové přihlášení
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Přehledy výsledků
RAC QualysGuard InfoDay 2011 12
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Interaktivní reporty
RAC QualysGuard InfoDay 2011 13
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0Reporty
RAC QualysGuard InfoDay 2011 14
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0Reporty
RAC QualysGuard InfoDay 2011 15
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Stav testování dle OWASP Top 10
RAC QualysGuard InfoDay 2011 16
Typ stavA1 - Injection Komplexně
A2 - Cross Site Scripting (XSS) Komplexně
A3 – Broken Authentication and Session Management Částečně
A3 - Malicious File Execution Částečně
A4 - Insecure Direct Object Reference Částečně
A5 - Cross Site Request Forgery Částečně
A6 – Information Leakage and Bad Error Handling Komplexně
A7 – Insecure Cryptographic Storage Nelze
A8 - Failure to Restrict URL Access Q4 2011
A9 – Insecure Transport Layer Protection Částečně
A10 – Unvalidated Redirects and Forwards Q2 2011
Open Web Application Security ProjectNejdůležitější metodologie pro testování webových aplikací
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 17
WAS poskytuje následující výhodyAutomatické testování webové aplikace, možnost sledování změn v čase, audit přístupových práv uživatelůProhledání celé struktury aplikace včetně autentizaceMetodologie testování vychází z Web Application Security Project (OWASP)
Odlišnosti od klasického penetračního testováníNutnost větší spolupráce s vývojáři, nálezy jsou obtížněji interpretovatelnéNenajde zranitelnosti související např. se špatnou logikou přístupových práv aplikace, session stealingRuční testování specialistou na bezpečnost webové aplikace je nutné pro komplexní kontrolu bezpečnosti
Shrnutí WAS
