Сканирование уязвимостей со вкусом Яндекса. Тарас...

Report

Tags:

Post on 11-Nov-2014

11.510 Views

Category:

Technology

3 Downloads

Preview:

Click to see full reader

DESCRIPTION

Тарас Иващенко, ЯндексАдминистратор информационной безопасности в Яндексе. Специалист по информационной безопасности, проповедник свободного программного обеспечения, автор Termite, xCobra и участник проекта W3AF.Тема докладаСканирование уязвимостей со вкусом Яндекса.ТезисыВ докладе будет рассказано о внедрении в Яндексе сканирования сервисов на уязвимости как одного из контроля безопасности в рамках SDLC (Secure Development Life Cycle). Речь пойдет о сканировании уязвимостей на этапе тестирования сервисов, а также о сканировании сервисов, находящихся в промышленной эксплуатации. Мы рассмотрим проблемы, с которыми столкнулись, и объясним, почему в качестве основного механизма решили выбрать открытое программное обеспечение (сканер уязвимостей w3af), доработанное под наши нужды.

TRANSCRIPT

Сканирование со вкусомЯндекса

Докладчик: Тарас Иващенко oxdef@yandex-team.ruМероприятие: YaC, Москва, 19 сентября 2011 года

mailto:oxdef@yandex-team.ru

План• Цикл разработки ПО• Безопасность конфигураций• Сканирование на уязвимости• Проблемы и решения• Happy end?

Особенности и реалии

Цикл разработки ПО

Цикл разработки ПО

Безопасность конфигурацийOWASP Top 10 > SecurityMisconfiguration• /Makefile, /CVS/Entries и т.п.• Устаревшие версии ПО• Отладочная информация• Доступные специнтерфейсы

Безопасность конфигурацийРешение• Регулярное сканирование всего: nmap + w3af + pykto• Более тысячи целей• Автоматическое оповещение ответственных

администраторов• Доработки вернули в проект w3af• Profit!!11

Свободное ПО и Яндекс

Сканирование на уязвимостиТекущий подход• Наши тестировщики "умеют" ещё и безопасность• Регулярные сканирования перед релизами• Охват всех сервисов

Сканирование на уязвимостиТекущее решение• Проприетарное• Одно из самых мощных• Слабо поддаётся интеграции в инфраструктуру

компании• "Мелочи", которые портят всё: ЧПУ, AJAX,

платформозависимость ;(• Цена

Сканирование на уязвимости

Сканирование на уязвимостиw3af• Фреймворк для аудита безопасности веб-приложений• GNU GPL v2, Python (и "батарейки")• Возможность расширения: сотни плагинов• Мы не будем писать проект "с нуля"!• Международный проект со своим сообществом

Сканирование на уязвимостиНаши доработки• Полноценный веб-интерфейс• Пользователи• ЧПУ• Удобная аутентификация в сервисах• Тестируем веб 2.0 приложения

w3afВеб-интерфейс• Django• Многопользовательский режим• Планирование сканирований• Интеграция с внутренними сервисами• Статистика

w3afВеб-интерфейс

w3afЧПУ

•http://fotki.yandex.ru/top/users/fotograf-17/view/361364/• Набор правил:

/top/users/%s/view/%d//controller/action/%d/...

w3afУдобная аутентификация всервисах• Существующие подходы ("запись логина")• Auth-плагины:

; @include Pentest_Profile[auth.yandex]username = test_userpassword = **************passport_host = passport.yandex.ru

Веб 1.0 -> 2.0Классический сканер c веб 2.0 работает плохо!

Веб 2.0Как сканироватьавтоматизированно?• Встроенный веб-браузер с JavaScript-движком• Selenium• Парсинг и подмешивание логов• ..?

Присоединяйся!У нас есть печеньки!...

Спасибо за внимание!Тарас Иващенко oxdef@yandex-team.ru

mailto:oxdef@yandex-team.ru

top related

Наземное лазерное сканирование ...
Documents
 · 2020. 1. 21. · 3 Конфеты КОНФЕТЫ...
Documents
Сканирование cisco ios в maxpatrol
Documents
Руководство пользователя -...
Documents
Швейцария со вкусом 46 неделя...
Documents
АлексейШипунов...
Documents
А.А, Иващенко, ЦВТ "ХимРар"
Technology
karfidov lab. Конструирование со...
Technology
Детство со вкусом - официальная...
Food
Объектно-ориентированное...
Documents
Сергей Иващенко - meet magento ukraine -...
Technology
drupal 8: Теперь со вкусом symfony
Technology
[1.3] Мониторинг событий ИБ —...
Internet
МЕБЕЛЬ - kuchnie zov · 2018-06-18 · Мебель...
Documents
Кухня со вкусом - kuhonka-nv.ru€¦ ·...
Documents
3d-сканирование и 3d-печать
Presentations & Public Speaking
Сканирование web-приложений с...
Internet
Тарас Иващенко, руководитель...
Internet
2008.09 Светлана Сурганова -...
Documents
Лазерное сканирование
Documents