SlideShare a Scribd company logo

ŁódQA - Michał Szybalski - Security strategy

Download as PPTX, PDF
L
LodQA
1 of 16
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
DO WE REALLY NEED A STRATEGY ?? INTRODUCTION TO PENETRATION TESTING
PLAN PREZENTACJI 1. Wstęp 2. Przedstawienie przykładowych faz strategii pen testów 3. Omówienie poszczególnych faz 4. Pokazanie strategii OWASP Web Application Penetration Testing 5. Pytania M. SZYBALSKI 2014 2
TEST PENETRACYJNY A AUDYT BEZPIECZEŃSTWA • TEST polegający na przeprowadzeniu kontrolowanego ataku na system informatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń • NIE jest to audyt – nie oparty na formalnej specyfikacji stanu pożądanego (normie, akcie prawnym), nie prowadzi do jednoznacznego określenia stopnia zgodności audytowanego obiektu ze specyfikacją M. SZYBALSKI 2014 3
ETAPY PODEJŚCIA DO TESTÓW PENETRACYJNYCH Penetration Testing Phases Target Scoping Information Gathering / Reconnaissance Vulnerability Mapping Target Exploitation Maintaining Access Documentation & Reporting M. SZYBALSKI 2014 4
TARGET SCOPING • Definiowanie wymagań klienta • Zasięg • Czas • Zasoby • Cena • Rules of Engagement (RoE) • Non - disclosure Agreement (NDA) M. SZYBALSKI 2014 5
INFORMATION GATHERING / RECONNAISSANCE • Passive Information Gathering – publiczne zasoby (whois) • Semi - Passive Information Gathering – fingerprinting (xprobe) • Active Information Gathering – nmap, dirbuster, skipfish M. SZYBALSKI 2014 6
VULNERABILITY MAPPING • Określamy, czy dany element systemu można wykorzystać w niebezpieczny sposób • Przeprowadzenie różnego rodzaju testów – whitebox, blackbox • Przeglądanie już znalezionych bugów – Jira, bugzilla, QC • Stosowane narzędzia – OWASP ZAP, Burp, nmap, sqlmap, xsser, nikto, w3af, skipfish, arachni M. SZYBALSKI 2014 7
TARGET EXPLOITATION • Wykonanie penetracji wybranego systemu poprzez stworzenie wektora ataku, który ominie kolejne elementy zabezpieczeń • Celem jest zdobycie jakiegokolwiek zysku z przeprowadzonego testu • Narzędzia – framework Metasploit, hashcat, aircrack, jack the ripper, narzędzia proxy, soapUI M. SZYBALSKI 2014 8
MAINTAINING ACCESS • Backdoory, rootkity • Można przyśpieszyć testy !!! • Skrócenie czasu dostępu do skompromitowanego systemu w przyszłości • Narzędzia - ustanowienie połączenia zwrotnego (netcat / cryptcat) lub poprzez użycie tzw. webshelli M. SZYBALSKI 2014 9
DOCUMENTATION & REPORTING • Kluczowy element testów penetracyjnych !!! • Znalezione podatności i problemy oraz ich eskalacja • Dostarczenie informacji jak zweryfikować wykryte błędy • Propozycje eliminacji / naprawy błędów • Informacja dla biznesu o ryzyku prowadzonego projektu M. SZYBALSKI 2014 10
OWASP WEB APPLICATION PENETRATION TESTING • Zawiera Testing Guide • Dokument ten opisuje metodologię OWASP Web Application Penetration Testing oraz sposoby testowania zabezpieczeń • Dostarcza informacji jak zweryfikować wykryte błędy • Testy mają charakter blackbox • Definiuje podział na dwie fazy: pasywną oraz aktywną M. SZYBALSKI 2014 11
FAZA PASYWNA • Poznanie logiki aplikacji • Zebranie informacji o badanym systemie • Zrozumienie metody działania aplikacji oraz enumeracja, jak największej liczby punktów wejścia (access points) M. SZYBALSKI 2014 12
FAZA AKTYWNA • Przeprowadzenie właściwych testów podzielonych na kategorie: • Configuration Management Testing, • Business Logic Testing, • Authentication Testing, • Authorization Testing, • Session Management Testing, • Data Validation Testing, • Denial of Service Testing, • Web Services Testing, • Ajax Testing. M. SZYBALSKI 2014 13
PODSUMOWANIE ZALETY • Prostota • Duża swoboda • Rozpoznawalna • Ilość testów, opisów WADY • Blackbox • Tylko aplikacje webowe • Wolny rozwój poszczególnych wersji Testing Guide`a M. SZYBALSKI 2014 14
BIBLIOGRAFIA • OWASP Testing Guide - https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_ of_Contents • The Basics of Hacking and Penetration Testing - Patrick Engebretson • Hacking Exposed Web Applications - Joel Scambray, Vincent Liu, Caleb Sima • The Web Application Hackers Handbook - Dafydd Stuttard, Marcus PintoM. SZYBALSKI 2014 15
DZIĘKUJĘ ???????? 16

More Related Content

PPTX
Application security verification standard
SecuRing
 
PDF
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek
3camp
 
PDF
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Logicaltrust pl
 
PDF
Testy eksploracyjne. Lucky shot czy zaplanowana akcja?
The Software House
 
PDF
OWASP Appsensor in action
LeszekMis
 
PDF
Modul 5 Jakwycryc symptomy Upadku
caniceconsulting
 
PDF
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
PROIDEA
 
PPTX
Jak tworzyć bezpieczne aplikacje?
SecuRing
 
Application security verification standard
SecuRing
 
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek
3camp
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Logicaltrust pl
 
Testy eksploracyjne. Lucky shot czy zaplanowana akcja?
The Software House
 
OWASP Appsensor in action
LeszekMis
 
Modul 5 Jakwycryc symptomy Upadku
caniceconsulting
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
PROIDEA
 
Jak tworzyć bezpieczne aplikacje?
SecuRing
 

Viewers also liked (6)

PDF
Strategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz Kryk
Sendingo Sp. z o. o.
 
PPTX
Social media i błędy marketerów
Anna Pogorzelska
 
PDF
Xevin consulting marketing_strategy
Małgorzata Nieciecka
 
PDF
Credentials
lukaszfront
 
PPTX
Dlaczego social media są trudne? Zwierzenia stratega
Norbert Piotrowski
 
PPTX
Szkolenie na Otwartych warsztatach click apps styczeń 2012
Michal Slawinski
 
Strategia wyroznienia w Polskim e-Commerce - Aleje IT - Tomasz Kryk
Sendingo Sp. z o. o.
 
Social media i błędy marketerów
Anna Pogorzelska
 
Xevin consulting marketing_strategy
Małgorzata Nieciecka
 
Credentials
lukaszfront
 
Dlaczego social media są trudne? Zwierzenia stratega
Norbert Piotrowski
 
Szkolenie na Otwartych warsztatach click apps styczeń 2012
Michal Slawinski
 
Ad

ŁódQA - Michał Szybalski - Security strategy

  • 1. DO WE REALLY NEED A STRATEGY ?? INTRODUCTION TO PENETRATION TESTING
  • 2. PLAN PREZENTACJI 1. Wstęp 2. Przedstawienie przykładowych faz strategii pen testów 3. Omówienie poszczególnych faz 4. Pokazanie strategii OWASP Web Application Penetration Testing 5. Pytania M. SZYBALSKI 2014 2
  • 3. TEST PENETRACYJNY A AUDYT BEZPIECZEŃSTWA • TEST polegający na przeprowadzeniu kontrolowanego ataku na system informatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń • NIE jest to audyt – nie oparty na formalnej specyfikacji stanu pożądanego (normie, akcie prawnym), nie prowadzi do jednoznacznego określenia stopnia zgodności audytowanego obiektu ze specyfikacją M. SZYBALSKI 2014 3
  • 4. ETAPY PODEJŚCIA DO TESTÓW PENETRACYJNYCH Penetration Testing Phases Target Scoping Information Gathering / Reconnaissance Vulnerability Mapping Target Exploitation Maintaining Access Documentation & Reporting M. SZYBALSKI 2014 4
  • 5. TARGET SCOPING • Definiowanie wymagań klienta • Zasięg • Czas • Zasoby • Cena • Rules of Engagement (RoE) • Non - disclosure Agreement (NDA) M. SZYBALSKI 2014 5
  • 6. INFORMATION GATHERING / RECONNAISSANCE • Passive Information Gathering – publiczne zasoby (whois) • Semi - Passive Information Gathering – fingerprinting (xprobe) • Active Information Gathering – nmap, dirbuster, skipfish M. SZYBALSKI 2014 6
  • 7. VULNERABILITY MAPPING • Określamy, czy dany element systemu można wykorzystać w niebezpieczny sposób • Przeprowadzenie różnego rodzaju testów – whitebox, blackbox • Przeglądanie już znalezionych bugów – Jira, bugzilla, QC • Stosowane narzędzia – OWASP ZAP, Burp, nmap, sqlmap, xsser, nikto, w3af, skipfish, arachni M. SZYBALSKI 2014 7
  • 8. TARGET EXPLOITATION • Wykonanie penetracji wybranego systemu poprzez stworzenie wektora ataku, który ominie kolejne elementy zabezpieczeń • Celem jest zdobycie jakiegokolwiek zysku z przeprowadzonego testu • Narzędzia – framework Metasploit, hashcat, aircrack, jack the ripper, narzędzia proxy, soapUI M. SZYBALSKI 2014 8
  • 9. MAINTAINING ACCESS • Backdoory, rootkity • Można przyśpieszyć testy !!! • Skrócenie czasu dostępu do skompromitowanego systemu w przyszłości • Narzędzia - ustanowienie połączenia zwrotnego (netcat / cryptcat) lub poprzez użycie tzw. webshelli M. SZYBALSKI 2014 9
  • 10. DOCUMENTATION & REPORTING • Kluczowy element testów penetracyjnych !!! • Znalezione podatności i problemy oraz ich eskalacja • Dostarczenie informacji jak zweryfikować wykryte błędy • Propozycje eliminacji / naprawy błędów • Informacja dla biznesu o ryzyku prowadzonego projektu M. SZYBALSKI 2014 10
  • 11. OWASP WEB APPLICATION PENETRATION TESTING • Zawiera Testing Guide • Dokument ten opisuje metodologię OWASP Web Application Penetration Testing oraz sposoby testowania zabezpieczeń • Dostarcza informacji jak zweryfikować wykryte błędy • Testy mają charakter blackbox • Definiuje podział na dwie fazy: pasywną oraz aktywną M. SZYBALSKI 2014 11
  • 12. FAZA PASYWNA • Poznanie logiki aplikacji • Zebranie informacji o badanym systemie • Zrozumienie metody działania aplikacji oraz enumeracja, jak największej liczby punktów wejścia (access points) M. SZYBALSKI 2014 12
  • 13. FAZA AKTYWNA • Przeprowadzenie właściwych testów podzielonych na kategorie: • Configuration Management Testing, • Business Logic Testing, • Authentication Testing, • Authorization Testing, • Session Management Testing, • Data Validation Testing, • Denial of Service Testing, • Web Services Testing, • Ajax Testing. M. SZYBALSKI 2014 13
  • 14. PODSUMOWANIE ZALETY • Prostota • Duża swoboda • Rozpoznawalna • Ilość testów, opisów WADY • Blackbox • Tylko aplikacje webowe • Wolny rozwój poszczególnych wersji Testing Guide`a M. SZYBALSKI 2014 14
  • 15. BIBLIOGRAFIA • OWASP Testing Guide - https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_ of_Contents • The Basics of Hacking and Penetration Testing - Patrick Engebretson • Hacking Exposed Web Applications - Joel Scambray, Vincent Liu, Caleb Sima • The Web Application Hackers Handbook - Dafydd Stuttard, Marcus PintoM. SZYBALSKI 2014 15