Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania Mateusz Olejarka Agile & Automation Days, 16.11.2015
Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Jan 21, 2018
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Automatyzacja testów
bezpieczeństwa –
ograniczenia, wyzwania,
gotowe rozwiązania
Mateusz Olejarka
Agile & Automation Days, 16.11.2015
• Starszy specjalista ds. bezpieczeństwa IT, SecuRing
• Ocena bezpieczeństwa aplikacji webowych i mobilnych
• Trener
• (Były) programista
• OWASP Polska
O mnie
• Zasada działania
• Zalety i wady
• Ograniczenia
• Wyzwania
• Gotowe rozwiązania
• Podsumowanie
• Q&A
Agenda
ZASADA DZIAŁANIA
ZALETY I WADY
ZALETY
Jakie znacie zalety testów automatycznych?
• Powtarzalność
Zalety
• Powtarzalność
• Wykrycie nisko wiszących owoców
Zalety
WADY
Jakie znacie wady testów automatycznych?
• False positives
Wady
• False positives
• Wiedza konieczna do interpretacji wyników
Wady
• False positives
• Wiedza konieczna do interpretacji wyników
• Udawanie użytkownika
Wady
OGRANICZENIA
• Brak uwzględnienia „biznesu” aplikacji
Ograniczenia
• Brak uwzględnienia „biznesu” aplikacji
• Część błędów dobrze znajduje się automatami a część nie
Ograniczenia
• % z istniejących rodzajów błędów
• Jakich? To zależy też trochę od aplikacji
Co można sensownie testować automatem?
Podatności wykrywane przez skanery
Podatności wykrywane przez skanery
• Logiki biznesowej
Czego nie da się sensownie testować automatem?
• Logiki biznesowej
• Procesów w aplikacji (coś kilkukrokowego)
Czego nie da się sensownie testować automatem?
WYZWANIA
• Technologia
Wyzwania
• Technologia
• Nawigacja w aplikacji
Wyzwania
• Technologia
• Nawigacja w aplikacji
• Sposób komunikacji, przesyłanie parametrów
Wyzwania
• Technologia
• Nawigacja w aplikacji
• Sposób komunikacji, przesyłanie parametrów
• Testy kontroli dostępu do funkcji/danych
Wyzwania
GOTOWE ROZWIĄZANIA
• Skanery automatyczne aplikacji WWW:
• Usługi:– WhiteHat Sentinel
– edgescan
– Acunetix
– Qualys WAS
• Narzędzia:– Subgraph Vega (darmowe !)
– w3af (darmowe !)
– IBM AppScan
Rodzaje
• Narzędzia automatyczne dedykowane dla poszczególnych typów podatności/rozwiązań:
• Qualys SSL Server Test
• OWASP DirBuster, dirs3arch
• Nikto
• sqlmap
• WPScan
Rodzaje
• Narzędzia półautomatyczne:
• Burp Suite
• OWASP ZAP
Rodzaje
PODSUMOWANIE
• Zasada działania
• Mocne i słabe strony
• Dostępne narzędzia i ich możliwości
• Czy korzystać?
Podsumowanie
Q&A
Related Documents
