Security zap and selenium
1 like4,545 views
Доклад Антона Шапина посвящен автоматическому тестированию безопасности с использованием инструментов ZAP и Selenium. Он объясняет возможности ZAP, таких как перехват трафика и автоматическое сканирование, а также подчеркивает плюсы интеграции с автоматизированными системами тестирования. Важно отметить, что, несмотря на высокую эффективность ZAP, он не гарантирует полную защиту от взломов.
Security zap and selenium
- 1. Автоматическое тестирование безопасности ZAP и Selenium Шапин Антон @kirlionik
- 2. Немного мании величия Шапин Антон • Руководитель отдела тестирования am.ru • В IT более семи лет. • Занимаюсь различными видами тестирования(от ручного до автоматизированного) Site: http://qaengineer.ru E-mail: shapin.anton@gmail.com
- 3. Чего НЕ будет в докладе • Раскрытие "чёрной магии" взлома сайтов • Сравнения инструментов по тестированию безопасности
- 4. О чём пойдет речь • Что такое ZAP с демонстрацией • Интеграция ZAP и Selenium Web Driver • Внедрение автоматического тестирования безопасности в существующую систему автотестов
- 5. Предупреждение • Я не специалист по security тестированию • Я за качество продукта!
- 6. Начнём!
- 8. Zed Attack Proxy (ZAP) • Простой инструмент для проведения pentest'а web-порталов • Полностью бесплатное c открытым исходным кодом • Идеально для внедрения в систему автоматического тестирования безопасности • Идеальный инструмент для новичков, который используют и профессионалы
- 9. На что способен ZAP • Intercepting Proxy • Automated scanner • Passive scanner • Brute Force scanner • Spider
- 10. На что способен ZAP • Fuzzer • Smartcard and Client Digital Certificates support • Port scanner • Dynamic SSL certificates • API • Beanshell integration
- 11. Ручное использование ZAP Web browser QA Expert ZAP Web Application
- 13. Зачем нам Selenium? • Автоматические Security Regress Tests • Не обязательны глубокие знания "Чёрной магии" • Интеграция тестирования безопасности с continuous integration • Возможность проверки только необходимых модулей, а не всей системы
- 14. Build Tool + Selenium + ZAP = Profit! Web browser Build tool Web Driver Web ZAP Application
- 15. Build Tool + Selenium + ZAP
- 16. Плюсы использования • Позволяет быстро убрать с портала грубые ошибки безопасности (на халяву!) • Контроль качества безопасности кода при каждом билде
- 17. Плюсы использования • Проверка только отдельных модулей на уязвимости, а не всего портала • Легкая интеграция с уже имеющейся системой автотестов • Кросс-платформенность
- 18. Предостережения • ZAP не даёт гарантии, что ваш портал не взломают • ZAP написан на Java, как следствие любит кушать (иногда жрать) память
- 19. Полезные ссылки • Домашняя страница ZAP https://www.owasp.org/index.php/ZAP • Downloads, wiki, source code http://code.google.com/p/zaproxy/downloads/list • ZAP announcements @zaproxy
Editor's Notes
- #2: 1. Есть ли люди, которые специализируются на тестировании безопасности? 2. Есть ли тут люди, которым это интересно, но не хватает знаний для этого? 3. Есть ли разработчики веб приложений? Насколько вы уверены в безопасности своего кода?
- #3: Занимаюсь нарузочным, функциональным тестированием. am.ru — Одна из крупнейших баз объявлений по продаже автомобилей России, которая обновляется и дополняется ежедневно. Более двадцати тысяч новых предложений каждый день, один проданный автомобиль каждые три минуты
- #4: Для многих людей взлом веб порталов ассоциируется с черной магией. Существует масса инструментов для проведения тестирования по безопасности. Есть платные монстры, бесплатные. Есть просто руки. В докладе я не буду приводить сравнения этих инструментов.
- #5: Я покажу, что такое инструмент ZAP, как с его помощью можно будет найти уязвимости. Ну и самое главное, как его можно интегрировать с уже существующей базой автоматических тестов без глобальных изменений.
- #8: Вот так выглядят люди, которые уверены, что их приложение легко взломать не получится, и при этом не проводят периодические при
- #9: История с использованием ZAP в нашей фирме началась с момента появления необходимости проводить тестирование на безопасность. Основные требования к системе: 1. Система должна быть автоматической. 2. Легко внедряемая в систему существующую систему тестирования. 3. Желательно бесплатна.
- #11: Fuzz тестирование или Fuzzing это black box тестирование программного обеспечения техникой, которая в основном состоит в нахождении ошибки реализации передачи не правильных или полу правильных данных в параметрах веб приложения.