Опыт организации тестирования безопасности web...
DESCRIPTION
Доклад Никиты Постолакия на SQA Days-15. 18-19 апреля, 2014, Москва. www.sqadays.comTRANSCRIPT
![Page 1: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/1.jpg)
ОПЫТ ОРГАНИЗАЦИИ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ
WEB ПРИЛОЖЕНИЙНИКИТА ПОСТОЛАКИЙ
10 АПРЕЛЯ 2014
![Page 2: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/2.jpg)
13.04.2023
Об авторе
Никита Постолакий
• 8+ лет в IT• PM проектов по тестированию
в Itera Consulting• Область интересов: тест
дизайн, управление рисками в тестировании, time management
• Курирую команду тестирования безопасности web приложений
/ 2
![Page 3: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/3.jpg)
13.04.2023
Содержание
1. Задача которую необходимо было решить
2. Определение методологии
3. Получение компетенции в тестировании безопасности
4. Тестировщики Security – кто они? Несколько советов по построению команды
5. Основные этапы процесса тестирования безопасности
6. Вопросы
/ 3
![Page 4: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/4.jpg)
13.04.2023
Задача:
1. Построить процесс тестирования безопасности в компании
2. Создать QA команду тестирования безопасности
3. Не привлекая внешних экспертов
4. В срок 6 месяцев
/ 4
![Page 5: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/5.jpg)
13.04.2023
Задача
Дополнительные параметры проекта:
• Виды тестирования безопасности будут определены точнее в ходе проекта• Доступна команда из 3 инженеров с частичной загрузкой• Процесс тестирования должен охватывать полный спектр активностей «под ключ»• Процесс тестирования должен быть достаточно зрелым для продажи клиентам• Необходимо определить\разработать методику тестирования и построить процесс• Необходимо выбрать инструменты и ПО для проведения тестирования• Необходимо подготовить методические материалы – чек-листы, формы Excel,
форматы отчетов, планов, стратегий и.т.д.
/ 5
![Page 6: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/6.jpg)
ОПРЕДЕЛЕНИЕ МЕТОДОЛОГИИ
![Page 7: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/7.jpg)
13.04.2023
OWASP
Open Web Application Security Project (OWASP)
Некоммерческое сообщество по обеспечению безопасности веб приложений.
Основные направления деятельности OWASP:
- Создание документации по разработке секьюрного ПО – Development guide- Разработка методологии тестирования безопасности ПО - Testing guide- Разработка ПО для тестирования, анализа, мониторинга и разработки- Материалы для обучения - TOP 10
https://www.owasp.org
/ 7
![Page 8: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/8.jpg)
13.04.2023
OWASP
• Более 200 проектов в области обеспечения безопасности ПО• Сообществом написано15 книг • Локальные сообщества в многих странах (и в Украине!)• Регулярные ивенты в области безопасности ПО
• Все проекты доступны бесплатно!
/ 8
![Page 9: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/9.jpg)
13.04.2023 / 9
OWASP – компании поддерживающие сообщество
![Page 10: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/10.jpg)
13.04.2023
Почему мы решили использовать методику тестирования web приложений OWASP?
/ 10
![Page 11: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/11.jpg)
ПОЛУЧЕНИЕ КОМПЕТЕНЦИИ В ТЕСТИРОВАНИИ БЕЗОПАСНОСТИ
![Page 12: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/12.jpg)
13.04.2023
Уровни тестирования безопасности
/ 12
Безопасность инфраструктуры
Безопасность приложения
Безопасность организации
• Сетевой уровень• Серверное ПО• Беспроводные сети• Firewall• VPN
• Веб приложения • Мобильные приложения• Desktop приложения• Анализ кода• Моделирование атаки
• Тренинги по безопасности• Секьюрити правила• Управление рисками• Business Continuity• Социальная инженерия
![Page 13: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/13.jpg)
13.04.2023
Тестирование безопасности веб приложений
Configuration management• Анализ инфраструктуры• Работа с поисковыми машинами• Проверка серверного ПО
Penetration Testing• Валидация данных / Инъекции (SQL, XSS, XML, XPATH, OS
Commands, File Uploads etc.)• Тестирование аутентификации• Тестирование авторизации• Session management• DOS атаки
Тестирование безопасности бизнес логики
Тестирование безопасности веб-сервисов
/ 13
![Page 14: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/14.jpg)
13.04.2023
Подходы к тестированию
/ 14
• Social Engineering
Черный ящик
Белый ящик
Серый ящик
![Page 15: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/15.jpg)
13.04.2023
Учебные материалы
Методологии тестирования безопасности:– OWASP Testing Guide – Web – Open Source Security Testing Methodology Manual (OSSTMM)
Интерактивные учебные курсы– OWASP Web GOAT
Книги о тестировании безопасности– OWASP Testing Guide– Web Security Testing Cookbook (Paco Hope, Ben Walther)– Google Hacking for penetration testers (Johnny Long)– Hacking and Securing iOS Applications (Jonathan Zdziarski)– Mobile Application Security (Himanshu Dwivedi)
/ 15
![Page 16: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/16.jpg)
13.04.2023
Организация тестового окружения для обучения
Как огранизовать тестовое окружение для обучения команды и практики на максимально приближенных к реальности примерах.
1. Damn Vulnerable Web Applicationhttp://www.dvwa.co.uk/
2. HACKADEMIC project https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project
3. OWASP Web Goat projecthttps://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
4. OWASP Live CDhttps://www.owasp.org/index.php/GPC_Project_Details/OWASP_Live_CD
/ 16
![Page 17: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/17.jpg)
13.04.2023
Временные затраты нашего проекта
Обучение:
Построение процесса:
Пилотный проект:
/ 17
3 месяца
1 месяц
1,5 месяца
![Page 18: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/18.jpg)
13.04.2023
Построение команды
Кто вам нужен что бы провести тестирование безопасности?
– Баланс технических знаний и навыков в тестировании– Аналитика и навыки менеджера
Наше решение:• 1 PM• 1 Senior QA инженер• 2 технаря (навыки программирования, сетевого администрирования)
/ 18
![Page 19: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/19.jpg)
ОСНОВНЫЕ ЭТАПЫ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ ПРИЛОЖЕНИЯ
![Page 20: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/20.jpg)
13.04.2023
Анализ и сбор информации
Цель этапа• Определить scope тестирования• Определить стратегию тестирования• Спланировать тестирование
Задачи и активности• Анализ инфраструктуры• Анализ технологий• Анализ бизнес процессов
Артефакты• Тест стратегия• Fingerprinting приложения
/ 20
![Page 21: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/21.jpg)
13.04.2023
Проведение тестирования
Цель этапа• Поиск уязвимостей• Формирование exploit сценариев
Задачи и активности• Выполнение тестов• Фиксирование уязвимостей• Анализ уязвимостей
Артефакты• Результаты прохождения тестов• Список уязвимостей• Exploit сценарии
/ 21
![Page 22: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/22.jpg)
13.04.2023
Оценка рисков и подготовка отчета
Цель этапа• Определение и оценка рисков безопасности• Подготовка рекомендаций по устранению уязвимости• Отчетность
Задачи и активности• Риск анализ• Разработка рекомендаций по устранению уязвимостей• Подготовка отчета
Артефакты• Risk evaluation матрица• Отчет о проведённом тестировании
/ 22
![Page 23: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/23.jpg)
13.04.2023
Методика оценки рисков безопасности OWASP
Уязвимость безопасности != риску безопасности
Величина риска = вероятность * последствия
Факторы при оценке риска безопасности по OWASP:
/ 23
Вероятность
- Уровень взломщика- Мотивация - Размер группы- Возможность обнаружения- Простота обнаружения- Простота использования- Обнаружение взлома-И др.
Вероятность
- Финансовые убытки- Репутационные убытки- Личные данные- Потеря данных- Потеря конфиденциальности- И др.
![Page 24: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/24.jpg)
13.04.2023
Вопросы?
/ 24
![Page 25: Опыт организации тестирования безопасности Web приложений в компании](https://reader036.vdocuments.site/reader036/viewer/2022062405/557f5376d8b42a42328b4845/html5/thumbnails/25.jpg)
13.04.2023
Контакты
Буду рад ответить на вопросы, и просто пообщаться:
nikeeboy
http://www.linkedin.com/in/npostolakiy
/ 25