Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Wielkość: px

Rozpocząć pokaz od strony:

Download "Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP 19.11.2014. The OWASP Foundation http://www.owasp.org"

Agata Kołodziejczyk
8 lat temu
Przeglądów:

1 Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? dr inż. Jakub Botwicz CISSP, ECSA, GWAPT jakub.botwicz@gmail.com Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

com Copyright The Foundation Permission is granted to copy, distribute

2 Wykrywanie podatności bezpieczeństwa <y bezpieczeństwa (penetracyjne) 4White box vs. Grey box vs. Black box 4Aplikacji i/lub infrastruktury <Analiza dynamiczna aplikacji 4y interfejsów webowych lub webserwisowych 4Monitorowanie działania aplikacji <Analiza statyczna aplikacji 4Manualne przeglądy kodu lub binariów 4Analiza automatyczna kodu lub plików binarnych <Programy bug bounty

Black box 4Aplikacji i/lub infrastruktury <Analiza dynamiczna aplikacji 4y interfejsów webowych

3 ANALIZA DYNAMICZNA 3

4 Skanery podatności aplikacji webowych Fazy działania: I. Rozpoznanie aplikacji (znalezienie dostępnych adresów URL i parametrów) II. Próby ataków (użycie np. fuzzingu) III. Weryfikacja wyników (sprawdzenie czy podatności rzeczywiście istnieją) IV. Zebranie wyników 4

parametrów) II. Próby ataków (użycie np. fuzzingu) III.

5 Ograniczenia skanerów automatycznych <Niestandardowe sposoby komunikacji aplikacji Skanery nie rozumieją formatu wiadomości <Operacje inicjowane w sposób niestandardowy Skanery nie potrafią wywołać operacji <Walidacja danych Skanery nie rozumieją komunikatów o błędach <Formularze wielostopniowe Skanery nie potrafią dokończyć operacji <Zabezpieczenia przeciw automatom CAPTCHA, uwierzytelnienie SMS lub tokenem 5

operacji <Walidacja danych Skanery nie rozumieją komunikatów o błędach <Formularze wielostopniowe

6 y manualne vs. y automatyczne Czynniki wpływające na jakość wyników: 4Doświadczenie testera 4Czas dostępny na testy 4Zmęczenie testera aplikacją 4Jakość narzędzia 4Odpowiednia konfiguracja narzędzia 4Dopasowanie narzędzia do aplikacji Zalety: 4Lepsze zrozumienie aplikacji i logiki biznesowej 4Wykrywanie nietypowych podatności 4 Grupowanie podatności w scenariusze ataku 4Niższe koszty 4Krótszy czas testowania 4owanie poza godzinami pracy 4Powtarzalność wyników 4Możliwość częstego powtarzania

aplikacją 4Jakość narzędzia 4Odpowiednia konfiguracja narzędzia 4Dopasowanie narzędzia do aplikacji Zalety: 4Lepsze

7 Połączenie testów automatycznych i manualnych Koniec etapu Koniec etapu Tworzenie aplikacji manualny Tworzenie aplikacji manualny automatyczny automatyczny automatyczny automatyczny automatyczny automatyczny automatyczny automatyczny Uzupełnienie bazy reguł 4y automatyczne wykonywać często i regularnie (regresja) 4y manualne wykonywać przy istotnych zmianach na podstawie ich wyników uaktualniać testy automatyczne

automatyczny automatyczny automatyczny Uzupełnienie bazy reguł 4y automatyczne wykonywać często i

8 ANALIZA STATYCZNA 8

9 Techniki działania narzędzi automatycznych <Wyszukiwanie wzorców 4podejrzane funkcje Random, gets(), MD5, DES 4słowa kluczowe password <Analiza source to sink 4wejście interfejs webowy 4wyjście baza danych 4podatność SQL Injection inne podatności: XSS, większość Injection <Metryki 4Złożoności funkcji lub gęstości komentarzy 9

4wejście interfejs webowy 4wyjście baza danych 4podatność SQL Injection inne

10 Analiza source to sink RIPS 4Source funkcje wprowadzające 4Sink funkcje wyprowadzające 4Path ścieżka przetwarzania 10

11 Analiza statyczna (Przegląd kodu lub binariów) vs. Analiza dynamiczna Łatwość analizy: (y penetracyjne) 4Sposobu przechowywania danych w bazie 4 Szyfrowania danych 4 Komunikacji z wewnętrznymi systemami 4Logowania zdarzeń 4Obsługi interfejsów wejściowych 4Logiki biznesowej aplikacji Problemy: 4Trudniej jest zweryfikować czy określony kod jest używany (więcej błędów false-positive) 4Trudniej jest zweryfikować istniejące ale nieskuteczne mechanizmy

4 Komunikacji z wewnętrznymi systemami 4Logowania zdarzeń 4Obsługi interfejsów wejściowych 4Logiki biznesowej

12 Continous Inspection SonarQube 12

13 Programy bug bounty <Trudności z oszacowaniem kosztów programu 4Płacimy za rzeczywiste znalezione podatności 4Musimy obsłużyć wszystkie otrzymane zgłoszenia <W produkcyjnym systemie pojawiają się testerzy 4Jak odróżnić bug bountera od włamywacza? 4Poszukiwacze błędów generują dodatkowy ruch <Co będzie po znalezieniu poważnego błędu? 4Czy nie będzie prób szantażu? 13

systemie pojawiają się testerzy 4Jak odróżnić bug bountera od włamywacza?

14 Monitorowanie działania aplikacji <Analiza 4zdarzeń (logów) SIEM 4ruchu sieciowego IDS/IPS 4ruchu webowego WAF <Techniki 4Wykrywanie anomalii 4Analiza powłamaniowa 4Debuggowanie lub profilowanie aplikacji 14

webowego WAF <Techniki 4Wykrywanie anomalii

15 y na poziomie infrastruktury <Konfiguracja serwerów SSL/TLS <Niezabezpieczone konsole administracyjne <Nieużywane moduły aplikacji <Niezabezpieczone usługi systemów operacyjnych 4FTP 4SMTP 15

16 Dziękuję za uwagę! Czy mają Państwo jakieś pytania? 16

Podobne dokumenty

Fuzzing OWASP 14.01.2010. The OWASP Foundation http://www.owasp.org. Piotr Łaskawiec J2EE Developer/Pentester

Fuzzing OWASP 14.01.2010. The OWASP Foundation http://www.owasp.org. Piotr Łaskawiec J2EE Developer/Pentester Fuzzing Piotr Łaskawiec J2EE Developer/Pentester 14.01.2010 Metrosoft (www.metrosoft.com) piotr.laskawiec@gmail.com Copyright The Foundation Permission is granted to copy, distribute and/or modify this