SlideShare uma empresa Scribd logo

ibm_appscan

Reinaldo Junior, profile picture
Reinaldo Junior

O documento descreve a ferramenta IBM Rational AppScan para testes de segurança de aplicações web. A ferramenta realiza análises dinâmicas e estáticas para identificar vulnerabilidades como SQL injection, cross-site scripting e buffer overflows. Além disso, a ferramenta gera relatórios detalhados e permite agendar testes de segurança automatizados.

1 de 34
Baixar para ler offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
Ferramenta para Testes de Segurança Autor: Reinaldo Mateus R. Junior Analista de Testes Senior Certificado IBM AppScan
ibm_appscan
• Black-Box Web application security testing. Rational AppScan Standard Edition realiza testes de Segurança em aplicações Web, para ajudar a proteger contra a ameaça de ciber-ataque com uma solução que combina a análise dinâmica, análise de JavaScript estático com a facilidade de uso.
Menu Principal do AppScan
 Identifica vulnerabilidades de aplicações Web, incluindo todas as relevantes da WASC TCv2 vulnerabilidades, como SQL- Injection, Cross-Site Scripting e buffer Overflows.  Aplica-se a análise estática com JavaScript Security Analyzer para identificar problemas de segurança do lado do cliente, tais como DOM baseado cross site scripting, injeção de código, Open Redirect, CSRF Bypass, sessão dupla, Manipulação de porta e Manipulação de Protocolo.  Detalha possíveis soluções nas principais linguagens.
 Simula invasões Reais.  A Quantidade de Testes Realizados é superior aos manuais, economizando tempo e dinheiro.  A Ferramenta prove atualização das vulnerabilidades encontradas atualmente.  É possível agendar um teste a ser realizado.
 Antes de enviar os testes específicos do site criado, Rational AppScan envia vários pedidos malformada para o aplicativo para determinar qual a resposta de erro gerada.  Rational AppScan analisa as respostas a cada solicitação que envia, à procura de qualquer indício de uma vulnerabilidade potencial.
Não Recomendado Testar em Produção, Possíveis Problemas:  Interrupção do Serviço – Como IBM AppScan Envia muita requisições para a Aplicação e no modo invasivo tenta realizar o “Denial of Service” , é bem provável que a Interrupção do Serviço ou em melhor caso a Lentidão da Aplicação para o Usuário final.  Corrupção do banco de dados de produção – O AppScan no modo “Invasive” ele tenta fazer Buffer Overflow no Banco de Dados, que é o transbordamento de dados (em inglês: buffer overflow) acontece quando o tamanho de um buffer ultrapassa sua capacidade máxima de armazenamento, em pior caso pode ocorrer problemas sérios ao banco de dados.  Servidor de Email – ao realizar o teste a ferramenta envia diversas requisições o email do administrador cadastrado, o mesmo vai receber milhares de email ou alertas, é bem provável que haja Interrupção do Serviço de Email .
 Notificar a Área de TI ou de Redes – Como o AppScan trabalha enviando requisições pela rede, poderá ocorrer alguma lentidão dos Serviços na Rede.  Desativar o Antivírus – O antivírus poderá bloquear alguns testes realizados na Aplicação, outra solução é adicionar na “Trusted Zona” do antivírus .  Realizar um Backup do Banco de Dados – O AppScan poderá mudar alguns dados ou tentar manipular variáveis do Banco de Dados, é extremamente aconselhado realizar um Backup do mesmo.  Desligar o Servidor de SMTP: Ao tentar realizar os testes em formulário de Cadastro, aonde possui envio de email, poderá acontecer o enchimento da caixa de email do administrador ou até mesmo do cliente responsável em recebê-lo.
 Não Realização testes em Paralelo: A Realização de testes em Paralelo como teste de performance e da AppScan ao mesmo tempo, poderá interferir em ambos os testes, além de pode gerar negação de serviço se o usuário estiver testando a aplicação utilizada pela Ferramenta, ou até mesmo gerar sobrecarrega da rede, assim gerando lentidão e erros em testes funcionais.  Definição de Meio Ambiente – Deve se fazer o levantamento do ambiente utilizado, Operating system scanned (suse, unix, win32 ou Not Defined )Web Server (IIs, Apache, IBM HTTP Server, etc), Application Server (ASP.NET, Oracle, Tomcat, etc), Type of Database (Oracle, MySQL, DB2), Third-Party Component (if any ex. WordPress, PostNuke, cPanel, etc), Location of Site (Local, Remote), Type of Site (Production, Test). Isso resulta em um teste mais rápido e preciso da ferramenta (no entanto não é obrigatório).
 Controle – Os relatórios gerados pela AppScan deve ser salvados diretamente no SVN ou GIT, não podendo ser enviada por email ou pendriver, fica resguardando a gerencia de configuração o acesso exclusivo as pessoas que deveram ter acesso aos relatórios, tendo assim o controle de segurança exigido pela ABNT NBR ISO/IEC 17799:2005 item 12.1.1 Análise e especificação dos requisitos de segurança.
 O computador não ter os requisitos mínimos ao realizar os testes (Rational® AppScan®, Version 8.0):  Processor Pentium P4, 2.4 GHz / Memory 2 GB RAM - Disk Space - 30 GB - Network1 NIC 100 Mbps for network communication with configured TCP/IP
 O Login Falhou – Depois de colocar a URL da Aplicação que será explorada, o segundo Passo é gravar o login da Aplicação. Numa eventual falha de Autenticação a Aplicação não realizará o teste completo, somente realizará os testes naqueles formulários que não necessita de autenticação.  Não reconhecimento das Configurações de Ambientes– Pode não gera um teste mais acurado de acordo com o ambiente testado.  Falta de Conhecimento – É necessário conhecimento na Aplicação para identificar se o teste falho não é falso positivo, também é necessário conhecimento em segurança para tentar realizar um teste manual na ferramenta, confirmando o erro encontrado, também para analisar as variáveis que foram modificadas pela ferramenta.
 Case-Sensitive Path não marcado – Não reconhece os caracteres Maiúsculos, deve permanecer marcado essa opção, com essa opção não marcada irá realizar somente os testes cuja URL não estão com letras Maiúsculas.  Insufficient Disk Space – É necessário de pelo menos 10 gb livres na maquina para executar os testes na AppScan.  Servidores e Domínios Adicionais: Se sua aplicação inclui servidores ou domínios que não sejam os da URL Inicial, AppScan pode incluí-los. Se não for adicionados, poderá realizar o escaneamento domínio inicial, não cobrindo o teste total (nos testes realizados foi necessário adicionar outro servidor).
 Proxy não Configurado: Por Padrão o AppScan usa as configurações do Internet Explorer, quando a ferramenta não consegui realizar o reconhecimento automático é necessário configurar manualmente para poder realizar os testes (nos testes do SEG foi preciso configurar o Proxy e reiniciar a ferramenta).  JavaScript Execução não habilitado: Deve se habilitar no servidor a execução do JavaScript para a realização dos testes.  Não mapeou todas as Telas: Algumas telas no processo automático podem não ser mapeadas.  Memória Virtual Baixa: Ao realizar os testes a memória virtual pode está muito baixa, aumente o limite de memória ou deixe que o sistema faça o gerenciamento.
 O número de testes que AppScan envia durante uma varredura pode chegar aos milhares. Às vezes é preferível reduzir o tempo de scan, limitando a análise a certos tipos apenas, usando a Política de teste (Test Policy), é muito necessário para limitar somente os testes que desejamos realizar e excluindo o que não é necessário no momento ou de acordo com a urgência e o tempo de teste.
 Em “Scan Configuration Wizard”, no terceiro passo de configuração, em “Test Policy”, você poderá escolhe o tipo de política que vai ser aplicada no teste, listamos todas abaixo:
Policy Name Description Default Inclui todos os testes, exceto testes invasivos e port listener tests. Application-Only Inclui todos os testes de nível de aplicativo, exceto testes invasivos e port listener tests. Infrastructure- Only Inclui todos os testes de infra-estrutura de nível, exceto testes invasivos e port listener tests. Invasive Inclui todos os testes invasivos (exames que podem afetar a estabilidade do servidor). Complete Inclui todos os testes da AppScan. Web Services Inclui todos os testes relacionados com o SOAP, exceto testes invasivos e port listener tests. The Vital Few Inclui uma seleção de testes que têm uma alta probabilidade de sucesso. Isto pode ser útil para avaliar um site quando o tempo é limitado. Developer Essentials Inclui uma seleção de testes de aplicativos que têm uma elevada probabilidade de sucesso. Isto pode ser útil para avaliar um site quando o tempo é limitado.
 Na Realização dos testes recomendo a Política de Teste “Default” por padrão, o tipo de teste default pode ser modificado na ferramenta podendo modificar as Métricas (High, Medium, Low, Informational), assim podendo assim realizar vários ciclos de correções, primeira “High”, segunda “Medium”, sucessivamente.
 Ao realizar o teste em um formulário especifico, a melhor forma é iniciar o teste com exploração manual e depois executar os testes. Quando for realizada uma criação de um novo caso de uso, ou acrescentar novas funcionalidades, não se tem a necessidade de testar todo sistema, podendo ser realizado dessa forma.
 Todos os sistemas podem ser testados pela aplicação no modo “default”, não se deve realizar os testes em modo Invasivo, a não ser quando solicitado.
 A ferramenta AppScan faz atualização automática, as atualizações de assinatura incluir novos tipos de técnicas de exploração de aplicações web e correções de bugs. É recomendado que você instale esses arquivos assim que receber a notificação de sua disponibilidade. Observação:  A atualização pode ser bloqueada pelo firewall.  Depois da atualização deve-se reiniciar a maquina.
ibm_appscan
 Ao analisar o código podemos identificar alguns falsos positivos  <ADDRESS>Oracle-Application-Server-10g/10.1.3.5.0 Oracle-HTTP- Server Server at portal1tstb.fucapi.br Port 80</ADDRESS>  O AppScan identificou como se fosse o IP do Servidor Oracle, mas na verdade é a versão do Oracle.  Obs. Deve se ocultar a versão do Oracle, numa possível descoberta de falha, um exploit poderia explorar a vulnerabilidade. Passos:  Clica no Link da ocorrência com o botão direito do mouse e selecione “set non-vulnerable”.  Vai remover a vulnerabilidade da lista.
 IBM Rational Web Services Explorer V8.0 Windows Multilingual (add-on to AppScan Standard Edition 8.0). Complemento Necessário para realizar os testes com Web Services. * baixar no site abaixo: https://www- 304.ibm.com/support/docview.wss?uid=swg21366519
 Os testes podem ser agendados para qualquer hora e data da semana, após o agendamento ele realizará de forma automática a inicialização dos testes solicitados.
 Ao terminar os Testes podemos gerar vários tipos de Relatórios, padrão da ferramenta ou padrões de Industrias especializadas, na ferramenta há várias formas de personalizar de um Relatório.
Icon Name Short Description Security Report Relatório de problemas de segurança encontrados durante a varredura. Informações de segurança pode ser muito extensa, e podem ser filtrados de acordo com suas necessidades. Seis modelos padrão estão incluídos, mas cada um pode ser facilmente adaptado para incluir ou excluir categorias de informações, conforme necessário. Industry Standard Report Relatório de conformidade (ou não-conformidade) do seu aplicativo com um comitê de indústria padronizado ex. OWASP (Open Web Application Security Project), ou você pode criar seu próprio checklist com padrões personalizados. Regulatory Compliance Report Relatório de conformidade (ou não-conformidade) de sua aplicação com uma grande variedade de regulamentos ou normas legais, ou com o seu modelo personalizado . Delta Analysis Report O relatório Análise Delta compara dois conjuntos de resultados da verificação e mostra a diferença em URLs e / ou questões de segurança descobertos. Template Based Report Relatório personalizado definidos por um template no WORD, a formatação do documento pode ser personalizada pelo usuário seguindo as regras do programa, no Microsoft Word em Formato “.doc”.
Menu Report
Podemos verificar os logs e analisar as requisições e possíveis problemas que deram ao realizar os testes.  C:Arquivos de programasIBMRational AppScanLogs
 A AppScan pode automaticamente não conseguir explorar algumas URL’s. Não realizando o teste nesses formulários.  A ferramenta AppScan por melhor que seja pode acontecer de uma nova vulnerabilidade ser encontrada e explorada, antes que a ferramenta seja atualizada.  A AppScan só cobre a camada de Aplicação, outras técnicas podem ser exploradas, em componentes de terceiros, SO, Web Server Oracle, Maquina Virtual Java, ou até mesmo bug na Linguagem.  AppScan não cobre problemas de Segurança na Arquitetura.  AppScan não cobre problemas roubo de dados por Vírus , cavalos de tróia ou Keylog na maquina do Usuário.  Se o Servidor de Licenças estiver fora é impossível a realização dos testes.
 Owasp Top 10 – 2010 › A1: Injection › A2: Cross-Site Scripting (XSS) › A3: Broken Authentication and Session Management › A4: Insecure Direct Object References › A5: Cross-Site Request Forgery (CSRF) › A6: Security Misconfiguration › A7: Insecure Cryptographic Storage › A8: Failure to Restrict URL Access › A9: Insufficient Transport Layer Protection › A10: Unvalidated Redirects and Forwards
Nos testes realizados o AppScan demonstrou ser uma ótima ferramenta para testes de segurança automatizados, é necessário conhecimento para reconhecer falsos positivos nos testes e conhecimento das vulnerabilidades para tentar reproduzir o erro de forma manual. O mesmo possui um gerador de relatórios muito bom, agendamento das atividades e formas de exploração manual e automática, a ferramenta é bem intuitiva. Um Ponto falho na ferramenta é a exploração manual não é tão boa com em outras ferramentas, mais os problemas encontrados foram solucionados pela experiência na ferramenta e em outras, o material na internet é bem escasso, mas o help da ferramenta é muito bom. A ferramenta é uma ótima aquisição, aonde só tem acrescentar as empresas.
Ferramenta para Testes Automatizados de Segurança Autor: Reinaldo Mateus R. Junior Analista de Testes Senior Certificado IBM AppScan Reinaldo.junior2@gvt.com.br

Mais conteúdo relacionado

PDF
Ibm app scan
Reinaldo Junior
 
PPT
Testes de Desempenho
Sandy Maciel
 
PPTX
Introdução aos Testes de Desempenho
Base2 Tecnologia
 
PDF
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
PDF
Introdução de teste de segurança app web
Kleitor Franklint Correa Araujo
 
PDF
Teste de segurança do lado servidor - Nível 1
Kleitor Franklint Correa Araujo
 
DOC
Trang Cao Resume
Trang Cao
 
PPTX
Historical Restoration Contractors Florida: Historic Preservation Consultants
UMKC MASONRY / LANDSCAPE / FOUNTAINS COMPANY
 
Ibm app scan
Reinaldo Junior
 
Testes de Desempenho
Sandy Maciel
 
Introdução aos Testes de Desempenho
Base2 Tecnologia
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
Introdução de teste de segurança app web
Kleitor Franklint Correa Araujo
 
Teste de segurança do lado servidor - Nível 1
Kleitor Franklint Correa Araujo
 
Trang Cao Resume
Trang Cao
 
Historical Restoration Contractors Florida: Historic Preservation Consultants
UMKC MASONRY / LANDSCAPE / FOUNTAINS COMPANY
 

Destaque (13)

PPTX
Aula 4 gerência de configuração de software1
Tiago Vizoto
 
PPTX
HISTORIC FOUNTAIN AND MASONRY RESTORATION COMPANY NASHVILLE TN 816-500-4198
UMKC MASONRY / LANDSCAPE / FOUNTAINS COMPANY
 
PPTX
Internet Safety for Parents
Scott Burnett
 
DOCX
Impressionism in the visual arts
Busines
 
PDF
Fall Prevention Safety posters roll out
Barrie O'Sullivan
 
PPT
Melaka No Dram Of Mercy 4
sara leong
 
PDF
Superior Glove Definitive Guide To Hand Protection
Superior Glove Works Ltd.
 
DOCX
Practice test ii topic
RodriguezIvo
 
PDF
CBIR in the Era of Deep Learning
Xiaohu ZHU
 
PDF
CSTEP peer review session
ssutton123
 
PPTX
Review literature
meenuch
 
PPT
Communication & presentation skills
shakil2604
 
PPTX
Suprematism
Juan Miguel Palero
 
Aula 4 gerência de configuração de software1
Tiago Vizoto
 
HISTORIC FOUNTAIN AND MASONRY RESTORATION COMPANY NASHVILLE TN 816-500-4198
UMKC MASONRY / LANDSCAPE / FOUNTAINS COMPANY
 
Internet Safety for Parents
Scott Burnett
 
Impressionism in the visual arts
Busines
 
Fall Prevention Safety posters roll out
Barrie O'Sullivan
 
Melaka No Dram Of Mercy 4
sara leong
 
Superior Glove Definitive Guide To Hand Protection
Superior Glove Works Ltd.
 
Practice test ii topic
RodriguezIvo
 
CBIR in the Era of Deep Learning
Xiaohu ZHU
 
CSTEP peer review session
ssutton123
 
Review literature
meenuch
 
Communication & presentation skills
shakil2604
 
Suprematism
Juan Miguel Palero
 
Anúncio

Semelhante a ibm_appscan (20)

PDF
Teste de Performance - 3º Encontro da ALATS
Fabrício Campos
 
PPT
Metodologia de-testes
padinho
 
PPTX
Workshop - Plano de Testes End to End com o Microsoft Test Manager
Alan Carlos
 
PPTX
Introdução a testes automatizados
Thiago Ghisi
 
PPT
Engenharia de Testes
UFPA
 
PDF
[GUTS-RS] Testes de Performance
GUTS-RS
 
PPTX
Eng de testes aula2
GrupoAlves - professor
 
PPT
Testes De Software - Uma Visão Geral
paulo peres
 
PDF
Tipos de automação de teste
Marcos Pessoa
 
PPTX
QA Ninja Conference 2016
Rodrigo Cardoso Alves Fonte
 
PPT
Webcast WebSphere Portal Performance
Alex Barbosa Coqueiro
 
PDF
Fundamentos de Teste de Software - Dev in PF. por Aline Zanin
DevInPF
 
PPT
2 Ads
lcbj
 
PDF
Como criar testes rápidos e robustos com Cypress
Walmyr Lima e Silva Filho
 
PPT
TechEd_OFC305
Rodolfo Roim
 
PPTX
Monitoramento de Serviços de Bancos de Dados - Nagios
Eduardo Legatti
 
PPTX
Teste de software
RobsonOliveira244
 
PDF
Teste de desempenho
Base2 Tecnologia
 
PPTX
Aula sobre Verificação, validação de Teste de software
CarlosDaniloLuz2
 
PPT
O que é Teste de Software?
testedesoftwarepe
 
Teste de Performance - 3º Encontro da ALATS
Fabrício Campos
 
Metodologia de-testes
padinho
 
Workshop - Plano de Testes End to End com o Microsoft Test Manager
Alan Carlos
 
Introdução a testes automatizados
Thiago Ghisi
 
Engenharia de Testes
UFPA
 
[GUTS-RS] Testes de Performance
GUTS-RS
 
Eng de testes aula2
GrupoAlves - professor
 
Testes De Software - Uma Visão Geral
paulo peres
 
Tipos de automação de teste
Marcos Pessoa
 
QA Ninja Conference 2016
Rodrigo Cardoso Alves Fonte
 
Webcast WebSphere Portal Performance
Alex Barbosa Coqueiro
 
Fundamentos de Teste de Software - Dev in PF. por Aline Zanin
DevInPF
 
2 Ads
lcbj
 
Como criar testes rápidos e robustos com Cypress
Walmyr Lima e Silva Filho
 
TechEd_OFC305
Rodolfo Roim
 
Monitoramento de Serviços de Bancos de Dados - Nagios
Eduardo Legatti
 
Teste de software
RobsonOliveira244
 
Teste de desempenho
Base2 Tecnologia
 
Aula sobre Verificação, validação de Teste de software
CarlosDaniloLuz2
 
O que é Teste de Software?
testedesoftwarepe
 
Anúncio

ibm_appscan

  • 1. Ferramenta para Testes de Segurança Autor: Reinaldo Mateus R. Junior Analista de Testes Senior Certificado IBM AppScan
  • 3. • Black-Box Web application security testing. Rational AppScan Standard Edition realiza testes de Segurança em aplicações Web, para ajudar a proteger contra a ameaça de ciber-ataque com uma solução que combina a análise dinâmica, análise de JavaScript estático com a facilidade de uso.
  • 5.  Identifica vulnerabilidades de aplicações Web, incluindo todas as relevantes da WASC TCv2 vulnerabilidades, como SQL- Injection, Cross-Site Scripting e buffer Overflows.  Aplica-se a análise estática com JavaScript Security Analyzer para identificar problemas de segurança do lado do cliente, tais como DOM baseado cross site scripting, injeção de código, Open Redirect, CSRF Bypass, sessão dupla, Manipulação de porta e Manipulação de Protocolo.  Detalha possíveis soluções nas principais linguagens.
  • 6.  Simula invasões Reais.  A Quantidade de Testes Realizados é superior aos manuais, economizando tempo e dinheiro.  A Ferramenta prove atualização das vulnerabilidades encontradas atualmente.  É possível agendar um teste a ser realizado.
  • 7.  Antes de enviar os testes específicos do site criado, Rational AppScan envia vários pedidos malformada para o aplicativo para determinar qual a resposta de erro gerada.  Rational AppScan analisa as respostas a cada solicitação que envia, à procura de qualquer indício de uma vulnerabilidade potencial.
  • 8. Não Recomendado Testar em Produção, Possíveis Problemas:  Interrupção do Serviço – Como IBM AppScan Envia muita requisições para a Aplicação e no modo invasivo tenta realizar o “Denial of Service” , é bem provável que a Interrupção do Serviço ou em melhor caso a Lentidão da Aplicação para o Usuário final.  Corrupção do banco de dados de produção – O AppScan no modo “Invasive” ele tenta fazer Buffer Overflow no Banco de Dados, que é o transbordamento de dados (em inglês: buffer overflow) acontece quando o tamanho de um buffer ultrapassa sua capacidade máxima de armazenamento, em pior caso pode ocorrer problemas sérios ao banco de dados.  Servidor de Email – ao realizar o teste a ferramenta envia diversas requisições o email do administrador cadastrado, o mesmo vai receber milhares de email ou alertas, é bem provável que haja Interrupção do Serviço de Email .
  • 9.  Notificar a Área de TI ou de Redes – Como o AppScan trabalha enviando requisições pela rede, poderá ocorrer alguma lentidão dos Serviços na Rede.  Desativar o Antivírus – O antivírus poderá bloquear alguns testes realizados na Aplicação, outra solução é adicionar na “Trusted Zona” do antivírus .  Realizar um Backup do Banco de Dados – O AppScan poderá mudar alguns dados ou tentar manipular variáveis do Banco de Dados, é extremamente aconselhado realizar um Backup do mesmo.  Desligar o Servidor de SMTP: Ao tentar realizar os testes em formulário de Cadastro, aonde possui envio de email, poderá acontecer o enchimento da caixa de email do administrador ou até mesmo do cliente responsável em recebê-lo.
  • 10.  Não Realização testes em Paralelo: A Realização de testes em Paralelo como teste de performance e da AppScan ao mesmo tempo, poderá interferir em ambos os testes, além de pode gerar negação de serviço se o usuário estiver testando a aplicação utilizada pela Ferramenta, ou até mesmo gerar sobrecarrega da rede, assim gerando lentidão e erros em testes funcionais.  Definição de Meio Ambiente – Deve se fazer o levantamento do ambiente utilizado, Operating system scanned (suse, unix, win32 ou Not Defined )Web Server (IIs, Apache, IBM HTTP Server, etc), Application Server (ASP.NET, Oracle, Tomcat, etc), Type of Database (Oracle, MySQL, DB2), Third-Party Component (if any ex. WordPress, PostNuke, cPanel, etc), Location of Site (Local, Remote), Type of Site (Production, Test). Isso resulta em um teste mais rápido e preciso da ferramenta (no entanto não é obrigatório).
  • 11.  Controle – Os relatórios gerados pela AppScan deve ser salvados diretamente no SVN ou GIT, não podendo ser enviada por email ou pendriver, fica resguardando a gerencia de configuração o acesso exclusivo as pessoas que deveram ter acesso aos relatórios, tendo assim o controle de segurança exigido pela ABNT NBR ISO/IEC 17799:2005 item 12.1.1 Análise e especificação dos requisitos de segurança.
  • 12.  O computador não ter os requisitos mínimos ao realizar os testes (Rational® AppScan®, Version 8.0):  Processor Pentium P4, 2.4 GHz / Memory 2 GB RAM - Disk Space - 30 GB - Network1 NIC 100 Mbps for network communication with configured TCP/IP
  • 13.  O Login Falhou – Depois de colocar a URL da Aplicação que será explorada, o segundo Passo é gravar o login da Aplicação. Numa eventual falha de Autenticação a Aplicação não realizará o teste completo, somente realizará os testes naqueles formulários que não necessita de autenticação.  Não reconhecimento das Configurações de Ambientes– Pode não gera um teste mais acurado de acordo com o ambiente testado.  Falta de Conhecimento – É necessário conhecimento na Aplicação para identificar se o teste falho não é falso positivo, também é necessário conhecimento em segurança para tentar realizar um teste manual na ferramenta, confirmando o erro encontrado, também para analisar as variáveis que foram modificadas pela ferramenta.
  • 14.  Case-Sensitive Path não marcado – Não reconhece os caracteres Maiúsculos, deve permanecer marcado essa opção, com essa opção não marcada irá realizar somente os testes cuja URL não estão com letras Maiúsculas.  Insufficient Disk Space – É necessário de pelo menos 10 gb livres na maquina para executar os testes na AppScan.  Servidores e Domínios Adicionais: Se sua aplicação inclui servidores ou domínios que não sejam os da URL Inicial, AppScan pode incluí-los. Se não for adicionados, poderá realizar o escaneamento domínio inicial, não cobrindo o teste total (nos testes realizados foi necessário adicionar outro servidor).
  • 15.  Proxy não Configurado: Por Padrão o AppScan usa as configurações do Internet Explorer, quando a ferramenta não consegui realizar o reconhecimento automático é necessário configurar manualmente para poder realizar os testes (nos testes do SEG foi preciso configurar o Proxy e reiniciar a ferramenta).  JavaScript Execução não habilitado: Deve se habilitar no servidor a execução do JavaScript para a realização dos testes.  Não mapeou todas as Telas: Algumas telas no processo automático podem não ser mapeadas.  Memória Virtual Baixa: Ao realizar os testes a memória virtual pode está muito baixa, aumente o limite de memória ou deixe que o sistema faça o gerenciamento.
  • 16.  O número de testes que AppScan envia durante uma varredura pode chegar aos milhares. Às vezes é preferível reduzir o tempo de scan, limitando a análise a certos tipos apenas, usando a Política de teste (Test Policy), é muito necessário para limitar somente os testes que desejamos realizar e excluindo o que não é necessário no momento ou de acordo com a urgência e o tempo de teste.
  • 17.  Em “Scan Configuration Wizard”, no terceiro passo de configuração, em “Test Policy”, você poderá escolhe o tipo de política que vai ser aplicada no teste, listamos todas abaixo:
  • 18. Policy Name Description Default Inclui todos os testes, exceto testes invasivos e port listener tests. Application-Only Inclui todos os testes de nível de aplicativo, exceto testes invasivos e port listener tests. Infrastructure- Only Inclui todos os testes de infra-estrutura de nível, exceto testes invasivos e port listener tests. Invasive Inclui todos os testes invasivos (exames que podem afetar a estabilidade do servidor). Complete Inclui todos os testes da AppScan. Web Services Inclui todos os testes relacionados com o SOAP, exceto testes invasivos e port listener tests. The Vital Few Inclui uma seleção de testes que têm uma alta probabilidade de sucesso. Isto pode ser útil para avaliar um site quando o tempo é limitado. Developer Essentials Inclui uma seleção de testes de aplicativos que têm uma elevada probabilidade de sucesso. Isto pode ser útil para avaliar um site quando o tempo é limitado.
  • 19.  Na Realização dos testes recomendo a Política de Teste “Default” por padrão, o tipo de teste default pode ser modificado na ferramenta podendo modificar as Métricas (High, Medium, Low, Informational), assim podendo assim realizar vários ciclos de correções, primeira “High”, segunda “Medium”, sucessivamente.
  • 20.  Ao realizar o teste em um formulário especifico, a melhor forma é iniciar o teste com exploração manual e depois executar os testes. Quando for realizada uma criação de um novo caso de uso, ou acrescentar novas funcionalidades, não se tem a necessidade de testar todo sistema, podendo ser realizado dessa forma.
  • 21.  Todos os sistemas podem ser testados pela aplicação no modo “default”, não se deve realizar os testes em modo Invasivo, a não ser quando solicitado.
  • 22.  A ferramenta AppScan faz atualização automática, as atualizações de assinatura incluir novos tipos de técnicas de exploração de aplicações web e correções de bugs. É recomendado que você instale esses arquivos assim que receber a notificação de sua disponibilidade. Observação:  A atualização pode ser bloqueada pelo firewall.  Depois da atualização deve-se reiniciar a maquina.
  • 24.  Ao analisar o código podemos identificar alguns falsos positivos  <ADDRESS>Oracle-Application-Server-10g/10.1.3.5.0 Oracle-HTTP- Server Server at portal1tstb.fucapi.br Port 80</ADDRESS>  O AppScan identificou como se fosse o IP do Servidor Oracle, mas na verdade é a versão do Oracle.  Obs. Deve se ocultar a versão do Oracle, numa possível descoberta de falha, um exploit poderia explorar a vulnerabilidade. Passos:  Clica no Link da ocorrência com o botão direito do mouse e selecione “set non-vulnerable”.  Vai remover a vulnerabilidade da lista.
  • 25.  IBM Rational Web Services Explorer V8.0 Windows Multilingual (add-on to AppScan Standard Edition 8.0). Complemento Necessário para realizar os testes com Web Services. * baixar no site abaixo: https://www- 304.ibm.com/support/docview.wss?uid=swg21366519
  • 26.  Os testes podem ser agendados para qualquer hora e data da semana, após o agendamento ele realizará de forma automática a inicialização dos testes solicitados.
  • 27.  Ao terminar os Testes podemos gerar vários tipos de Relatórios, padrão da ferramenta ou padrões de Industrias especializadas, na ferramenta há várias formas de personalizar de um Relatório.
  • 28. Icon Name Short Description Security Report Relatório de problemas de segurança encontrados durante a varredura. Informações de segurança pode ser muito extensa, e podem ser filtrados de acordo com suas necessidades. Seis modelos padrão estão incluídos, mas cada um pode ser facilmente adaptado para incluir ou excluir categorias de informações, conforme necessário. Industry Standard Report Relatório de conformidade (ou não-conformidade) do seu aplicativo com um comitê de indústria padronizado ex. OWASP (Open Web Application Security Project), ou você pode criar seu próprio checklist com padrões personalizados. Regulatory Compliance Report Relatório de conformidade (ou não-conformidade) de sua aplicação com uma grande variedade de regulamentos ou normas legais, ou com o seu modelo personalizado . Delta Analysis Report O relatório Análise Delta compara dois conjuntos de resultados da verificação e mostra a diferença em URLs e / ou questões de segurança descobertos. Template Based Report Relatório personalizado definidos por um template no WORD, a formatação do documento pode ser personalizada pelo usuário seguindo as regras do programa, no Microsoft Word em Formato “.doc”.
  • 30. Podemos verificar os logs e analisar as requisições e possíveis problemas que deram ao realizar os testes.  C:Arquivos de programasIBMRational AppScanLogs
  • 31.  A AppScan pode automaticamente não conseguir explorar algumas URL’s. Não realizando o teste nesses formulários.  A ferramenta AppScan por melhor que seja pode acontecer de uma nova vulnerabilidade ser encontrada e explorada, antes que a ferramenta seja atualizada.  A AppScan só cobre a camada de Aplicação, outras técnicas podem ser exploradas, em componentes de terceiros, SO, Web Server Oracle, Maquina Virtual Java, ou até mesmo bug na Linguagem.  AppScan não cobre problemas de Segurança na Arquitetura.  AppScan não cobre problemas roubo de dados por Vírus , cavalos de tróia ou Keylog na maquina do Usuário.  Se o Servidor de Licenças estiver fora é impossível a realização dos testes.
  • 32.  Owasp Top 10 – 2010 › A1: Injection › A2: Cross-Site Scripting (XSS) › A3: Broken Authentication and Session Management › A4: Insecure Direct Object References › A5: Cross-Site Request Forgery (CSRF) › A6: Security Misconfiguration › A7: Insecure Cryptographic Storage › A8: Failure to Restrict URL Access › A9: Insufficient Transport Layer Protection › A10: Unvalidated Redirects and Forwards
  • 33. Nos testes realizados o AppScan demonstrou ser uma ótima ferramenta para testes de segurança automatizados, é necessário conhecimento para reconhecer falsos positivos nos testes e conhecimento das vulnerabilidades para tentar reproduzir o erro de forma manual. O mesmo possui um gerador de relatórios muito bom, agendamento das atividades e formas de exploração manual e automática, a ferramenta é bem intuitiva. Um Ponto falho na ferramenta é a exploração manual não é tão boa com em outras ferramentas, mais os problemas encontrados foram solucionados pela experiência na ferramenta e em outras, o material na internet é bem escasso, mas o help da ferramenta é muito bom. A ferramenta é uma ótima aquisição, aonde só tem acrescentar as empresas.
  • 34. Ferramenta para Testes Automatizados de Segurança Autor: Reinaldo Mateus R. Junior Analista de Testes Senior Certificado IBM AppScan Reinaldo.junior2@gvt.com.br