SlideShare a Scribd company logo

QA Fest 2017. Святослав Логин. Как провести тестирование на безопасность Web application

Q
QAFest

Документ описывает первый в Украине фестиваль тестирования, на котором Святослав Логин делится опытом по тестированию безопасности веб-приложений. Он подробно рассматривает инструменты, такие как OWASP ZAP, sqlmap и Wireshark, а также способы защиты от уязвимостей. Основное внимание уделяется различным типам атак, методам их тестирования и рекомендациям по безопасности.

Education
1 of 40
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
Киев 2016 Первый в Украине фестиваль тестирования Как провести тестирование на безопасность Web application Святослав Логин
Киев 2016<Как тестировать фичи прямо на продакшене с помощью Release-train и Feature flags> О себе: - Святослав Логин - QA --} Automation QA --} QA Lead в Evo.company - 4 года в тестировании - 6 проектов
Киев 2016<Как тестировать фичи прямо на продакшене с помощью Release-train и Feature flags>
Киев 2016<Как тестировать фичи прямо на продакшене с помощью Release-train и Feature flags> В evo.company входят такие проекты:
Киев 2016 Сегодня в программе: - XSS -> OWASP ZAP - Дамп базы данных -> SQLmap - Сниффинг -> WireShark - Подбор данных (Brute force) -> Hydra
Киев 2016 Пример XSS
Киев 2016 Классификация XSS - Отраженные (Непостоянные) - Хранимые (Постоянные) - DOM-модели
Киев 2016 Отраженные XSS bank.ua?month=<script><src="http://memesmix.net/medi a/created/t3aynb.jpg"></script> bank.ua SEO менеджер Пользователь Добрый день! Ваша заработная плата находится по ссылке
Киев 2016 Хранимые XSS bank.ua Внедряет вредоносный скрипт SEO менеджер Пользователь Открывает страницу <img src="http://inexist.ent" onerror="javascript:alert(1)"/>
Киев 2016 DOM-модели
Киев 2016 Поиск XSS -> OWASP ZAP OWASP ZAP- это инструмент для тестирования на проникновения и нахождения уязвимостей в веб- приложениях.
Киев 2016 - Перехват прокси - Автоматизированный сканер - Fuzzing - Поддержка аутентификаций и сессий - Мощный API на основе REST - Поддержка большого количества скриптовых языков - Активно развивается международной командой добровольцев Каковы плюсы OWASP ZAP
Киев 2016 Работа с OWASP ZAP
Киев 2016 Сортировка ошибок OWASP ZAP XSS CSRF и тд Ну такое
Киев 2016 Режимы атак
Киев 2016 Видосик
Киев 2016 SQL injection
Киев 2016 Пример SQL injection
Киев 2016 Поиск SQL injection -> SQLmap SQLmap- это инструмент с открытым исходным кодом для тестирования на проникновение, который автоматизирует процесс выявления и эксплуатирования уязвимостей SQL- инъекций и захват серверов баз данных.
Киев 2016 Работа с SQLmap -u для указания URL --random-agen для снижения подозрительной активности -tor для использования защищенного канала --dbs смотрим какие базы доступны --table смотрим таблицу --columns смотрим колонки --dump скачиваем путь к базе
Киев 2016 Запуск SQLmap $ python sqlmap.py -u "http://site.ua?id=34" --random-agent - tor --dbs
Киев 2016 Видос
Киев 2016 Дополнительно - level = (1 - 5) - risk = (1 - 3)
Киев 2016 Как защитится 1. Не помещать в БД данные без обработки. 2. Не помещать в запрос управляющие структуры и идентификаторы, введенные пользователем. 3. Добавить капчу https://haveibeenpwned.com/
Киев 2016 Сниффинг Клиент Сервер Хацкер Первичное соединение перехват
Киев 2016 Сниффинг -> Wireshark Сниффинг - Wireshark используется сетевыми специалистами по всему миру для решения проблем, анализа, разработки программного обеспечения и протоколов, а также в образовании.
Киев 2016 Что может WireShark - Перехватывает введенные данные в сети
Киев 2016 Работа с WireShark
Киев 2016 Работа с WireShark
Киев 2016 Работа с WireShark
Киев 2016 Работа с WireShark
Киев 2016 ВидосикВидосик
Киев 2016 Как защитится? 1. Не позволяйте посторонним лицам иметь доступ в вашу сеть. 2. Когда вы сами пользуетесь публичными точками доступа, то, хотя бы, помните об угрозе перехвата пароля. 3. Используйте VPN, эта технология способна решить все проблемы с небезопасными сетями 4. Самый действенный способ — SSL-сертификаты.
Киев 2016 Brute force email or username Password
Киев 2016 Brute force -> Hydra Hydra - Утилита для подбора аутентификационных данных методом грубой силы (brute force).
Киев 2016 Работа с Hydra s - ПОРТ l - ЛОГИН p - ПАРОЛЬ x - Генерация паролей для брутфорса, наберите "-x -h" для помощи o - ФАЙЛ f - Выйти, когда пара логин/пароль подобрана t - ЗАДАЧИ w - ВРЕМЯ
Киев 2016 Выпустить Крякена!!! $ hydra -l LoginSvyat -p 12345678 -s 80 site.ua http-post-form "/:login_name=^USER^&login_password=^PASS^:Please login" -t 5 -w 30 -f
Киев 2016 Видосик
Киев 2016 Как защитится 1. Добавить капчу 2. Добавить двухэтапную аутентификацию 3. Ввести лимиты на поступление запросов с одного IP
Киев 2016 Спасибо за внимание! Вопросы?

More Related Content

PPTX
QA Fest 2017. Анастасия Павленко. А ты готов к интеграционному тестированию?
QAFest
 
PPTX
QA Fest 2017.Александр Неделяев.Тестирование и мониторинг производительности ...
QAFest
 
PPTX
QA Fest 2017. Никита Кричко. Как сэкономить время на анализе отчетов о нагруз...
QAFest
 
PPTX
QA Fest 2017. Андрей Лазарев.Эффективный поиск невоспроизводимых ошибок
QAFest
 
PPTX
QA Fest 2017. Алексей Буль.Тестирование геолокационных систем
QAFest
 
PPTX
QA Fest 2017. Олег Лимарчук. Создаём универсальный конвейер тестирования для ...
QAFest
 
PPTX
Тестирование и мониторинг производительности фронтенда с помощью sitespeed.io...
Alexander Nedeliaev
 
PPTX
QA Fes 2016. Александр Неделяев. Система мониторинга производительности своим...
QAFest
 
QA Fest 2017. Анастасия Павленко. А ты готов к интеграционному тестированию?
QAFest
 
QA Fest 2017.Александр Неделяев.Тестирование и мониторинг производительности ...
QAFest
 
QA Fest 2017. Никита Кричко. Как сэкономить время на анализе отчетов о нагруз...
QAFest
 
QA Fest 2017. Андрей Лазарев.Эффективный поиск невоспроизводимых ошибок
QAFest
 
QA Fest 2017. Алексей Буль.Тестирование геолокационных систем
QAFest
 
QA Fest 2017. Олег Лимарчук. Создаём универсальный конвейер тестирования для ...
QAFest
 
Тестирование и мониторинг производительности фронтенда с помощью sitespeed.io...
Alexander Nedeliaev
 
QA Fes 2016. Александр Неделяев. Система мониторинга производительности своим...
QAFest
 

What's hot (20)

PDF
QA Fest 2016. Дмитрий Химион. Векторы развития систем автоматизации тестиров...
QAFest
 
PPTX
QA Fest 2017. Екатерина Шепелева. О тестирование доступности: зачем, как, к ч...
QAFest
 
PPTX
Браузерные помощники тестировщика (QA Fest 2016)
Alexander Nedeliaev
 
PDF
QA Fes 2016. Святослав Логин. Как тестировать фичи прямо на продакшене с помо...
QAFest
 
PDF
QA Fest 2016. Антон Серпутько. Автоматизация запуска тестов с помощью Jenkins...
QAFest
 
PPTX
Test Strategy: creation and optimization - QA Fest-2017 (Тестовая стратегия: ...
Andrey Ladutko
 
PPTX
QA Fes 2016. Роман Якимчук. Продвинутое тестирование состояний и переходов
QAFest
 
PPTX
Об автоматическом тестировании бэкенда в Media markt
Igor Lyubin
 
PPTX
QA Fest 2016. Александр Неделяев. Браузерные помощники тестировщика
QAFest
 
PPTX
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
SQALab
 
PPTX
Agility in Testing
Katya Kameneva
 
PDF
Apache JMeter vs LoadRunner: на заре справедливости, сравнение инструментов н...
SQALab
 
PPTX
Continuous Integration для QA
Ivan Kolodyazhny
 
PDF
D2D DevPro 2017: Golang — опыт промышленной разработки
Yuriy Vasiyarov
 
PPTX
Непрерывная интеграция
QA Dnepropetrovsk Community (Ukraine)
 
PPTX
ВОЛОДИМИР НІКОНОВ «Приймальні тести і стратегія тестування» Online QADay 2020 #2
QADay
 
PDF
Winium — это как Selenium, только под Windows
SQALab
 
PDF
Devops в .NET проекте
Игорь Зиновьев
 
PPTX
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...
Positive Hack Days
 
PPTX
Архитектура автоматизированных тестов: представление предметной области
SQALab
 
QA Fest 2016. Дмитрий Химион. Векторы развития систем автоматизации тестиров...
QAFest
 
QA Fest 2017. Екатерина Шепелева. О тестирование доступности: зачем, как, к ч...
QAFest
 
Браузерные помощники тестировщика (QA Fest 2016)
Alexander Nedeliaev
 
QA Fes 2016. Святослав Логин. Как тестировать фичи прямо на продакшене с помо...
QAFest
 
QA Fest 2016. Антон Серпутько. Автоматизация запуска тестов с помощью Jenkins...
QAFest
 
Test Strategy: creation and optimization - QA Fest-2017 (Тестовая стратегия: ...
Andrey Ladutko
 
QA Fes 2016. Роман Якимчук. Продвинутое тестирование состояний и переходов
QAFest
 
Об автоматическом тестировании бэкенда в Media markt
Igor Lyubin
 
QA Fest 2016. Александр Неделяев. Браузерные помощники тестировщика
QAFest
 
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
SQALab
 
Agility in Testing
Katya Kameneva
 
Apache JMeter vs LoadRunner: на заре справедливости, сравнение инструментов н...
SQALab
 
Continuous Integration для QA
Ivan Kolodyazhny
 
D2D DevPro 2017: Golang — опыт промышленной разработки
Yuriy Vasiyarov
 
Непрерывная интеграция
QA Dnepropetrovsk Community (Ukraine)
 
ВОЛОДИМИР НІКОНОВ «Приймальні тести і стратегія тестування» Online QADay 2020 #2
QADay
 
Winium — это как Selenium, только под Windows
SQALab
 
Devops в .NET проекте
Игорь Зиновьев
 
Автоматизация нагрузочного тестирования в связке JMeter + TeamСity + Grafana ...
Positive Hack Days
 
Архитектура автоматизированных тестов: представление предметной области
SQALab
 
Ad

Similar to QA Fest 2017. Святослав Логин. Как провести тестирование на безопасность Web application (20)

PPTX
Система мониторинга производительности своими руками (QA Fest 2016)
Alexander Nedeliaev
 
PPTX
Svyatoslav Login
Dakiry
 
PDF
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
yaevents
 
PDF
Pt devteev-risspa
yaevents
 
PDF
Risspa domxss
yaevents
 
PDF
Практическое использование фабрики ACI
Cisco Russia
 
PDF
Building deployment pipeline - DevOps way
Andrey Rebrov
 
PDF
Контроль услуг и приложений в центрах обработки данных нового поколения
Cisco Russia
 
PPTX
DUMP-2013 Serverside - Архитектура Битрикс24 в Amazon Web Services – изнутри ...
it-people
 
PPT
Анализ защищенности интернет-проектов
Dmitry Evteev
 
PDF
VCS/Expressway архитектура и диагностика
Cisco Russia
 
PPTX
Шаблоны проектирования нагрузочных скриптов
SQALab
 
PPT
Безопасность веб-приложений сегодня
Dmitry Evteev
 
PPT
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
rit2011
 
PDF
Node.js Меньше сложности, больше надежности Holy.js 2021
Timur Shemsedinov
 
PDF
"Web Vitals monitoring & optimizations", Erik Himiranov
Fwdays
 
PDF
AgileDays 2016. Внедрение Agile в Банке
Михаил Кононов
 
PDF
Практические примеры использования API в инфраструктурных продуктах Cisco для...
Cisco Russia
 
PDF
Эпохи в разработке программного обеспечения
Vitebsk Miniq
 
PPTX
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
Система мониторинга производительности своими руками (QA Fest 2016)
Alexander Nedeliaev
 
Svyatoslav Login
Dakiry
 
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
yaevents
 
Pt devteev-risspa
yaevents
 
Risspa domxss
yaevents
 
Практическое использование фабрики ACI
Cisco Russia
 
Building deployment pipeline - DevOps way
Andrey Rebrov
 
Контроль услуг и приложений в центрах обработки данных нового поколения
Cisco Russia
 
DUMP-2013 Serverside - Архитектура Битрикс24 в Amazon Web Services – изнутри ...
it-people
 
Анализ защищенности интернет-проектов
Dmitry Evteev
 
VCS/Expressway архитектура и диагностика
Cisco Russia
 
Шаблоны проектирования нагрузочных скриптов
SQALab
 
Безопасность веб-приложений сегодня
Dmitry Evteev
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
rit2011
 
Node.js Меньше сложности, больше надежности Holy.js 2021
Timur Shemsedinov
 
"Web Vitals monitoring & optimizations", Erik Himiranov
Fwdays
 
AgileDays 2016. Внедрение Agile в Банке
Михаил Кононов
 
Практические примеры использования API в инфраструктурных продуктах Cisco для...
Cisco Russia
 
Эпохи в разработке программного обеспечения
Vitebsk Miniq
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
Ad

More from QAFest (20)

PDF
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QAFest
 
PPTX
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QAFest
 
PPTX
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QAFest
 
PDF
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QAFest
 
PDF
QA Fest 2019. Никита Галкин. Как зарабатывать больше
QAFest
 
PDF
QA Fest 2019. Сергей Пирогов. Why everything is spoiled
QAFest
 
PDF
QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QAFest
 
PPTX
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QAFest
 
PPTX
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QAFest
 
PDF
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QAFest
 
PPTX
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QAFest
 
PDF
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QAFest
 
PPTX
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QAFest
 
PDF
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QAFest
 
PDF
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QAFest
 
PDF
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QAFest
 
PPTX
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QAFest
 
PPTX
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QAFest
 
PDF
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QAFest
 
PPTX
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QAFest
 
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QAFest
 
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QAFest
 
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QAFest
 
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QAFest
 
QA Fest 2019. Никита Галкин. Как зарабатывать больше
QAFest
 
QA Fest 2019. Сергей Пирогов. Why everything is spoiled
QAFest
 
QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QAFest
 
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QAFest
 
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QAFest
 
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QAFest
 
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QAFest
 
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QAFest
 
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QAFest
 
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QAFest
 
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QAFest
 
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QAFest
 
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QAFest
 
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QAFest
 
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QAFest
 
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QAFest
 

QA Fest 2017. Святослав Логин. Как провести тестирование на безопасность Web application