Post on 24-May-2015
description
Self-Made Web 2.0 Security TestingSven Großmann, Timo Pagel
Vorstellung● Sven
○ Master Student: Information Technology■ Schwerpunkt: Web-Technologien
● Timo○ Fachinformatiker (Systemintegration)○ Master Student: Information Technology
■ Schwerpunkt: IT-Sicherheit
Sicherheits Experte Geschäftsführer
Werkzeuge des White Hats
Vulnerability Scans (DAST)
Web Application Firewalls
Code Analysen (SAST)
System Härtungen
Sicherheits Schulungen
Intrusion Detection Systems
Werkzeuge des Black Hats
Web Application
SQL Injection
Cross Site Scripting
Security Misconfiguration
...
DAST
DAST-Werkzeuge● Burp (ca. 200 $)
● OWASP Zap
● w3af
● sqlmap/nosqlmap
● weitere bei sectoolmarket.com[1] http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html
DAST-Werkzeuge● Burp (ca. 200 $)
● OWASP Zap
● w3af
● sqlmap/nosqlmap
● weitere bei sectoolmarket.com[1] http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html
Ein einfacher Scan● Spider
○ Abdeckung der Seitenstruktur● Scan
○ Schwachstellen aufdecken
Produktivumgebung scannen?
FunktionsweiseProxy:
Spider/Scanner:
In Anlehnung an: https://blog.codecentric.de/files/2013/10/overview.png
Ein einfacher ScanDemo: OWASP Zap und WackoPicko
FunktionsweiseProxy:
Spider/Scanner:
AjaxSpider:
In Anlehnung an: https://blog.codecentric.de/files/2013/10/overview.png
OWASP Top Ten● A1 Injection● A2 Broken Authentication and Session Management● A3 Cross-Site Scripting (XSS)● A4 Insecure Direct Object References● A5 Security Misconfiguration● A6 Sensitive Data Exposure● A7 Missing Function Level Access Control● A8 Cross-Site Request Forgery (CSRF)● A9 Using Components with Known Vulnerabilities● A10 Unvalidated Redirects and Forwards
Quelle: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Vielen DankKontakt:
Timo Pagel: security@timo-pagel.deSven Großmann:
Bild QuellenDisney Interactive: http://www.starwars.com/