automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Post on 21-Jan-2018
1.366 Views
Preview:
TRANSCRIPT
Automatyzacja testów
bezpieczeństwa –
ograniczenia, wyzwania,
gotowe rozwiązania
Mateusz Olejarka
Agile & Automation Days, 16.11.2015
• Starszy specjalista ds. bezpieczeństwa IT, SecuRing
• Ocena bezpieczeństwa aplikacji webowych i mobilnych
• Trener
• (Były) programista
• OWASP Polska
O mnie
• Zasada działania
• Zalety i wady
• Ograniczenia
• Wyzwania
• Gotowe rozwiązania
• Podsumowanie
• Q&A
Agenda
• Brak uwzględnienia „biznesu” aplikacji
• Część błędów dobrze znajduje się automatami a część nie
Ograniczenia
• % z istniejących rodzajów błędów
• Jakich? To zależy też trochę od aplikacji
Co można sensownie testować automatem?
• Logiki biznesowej
• Procesów w aplikacji (coś kilkukrokowego)
Czego nie da się sensownie testować automatem?
• Technologia
• Nawigacja w aplikacji
• Sposób komunikacji, przesyłanie parametrów
• Testy kontroli dostępu do funkcji/danych
Wyzwania
• Skanery automatyczne aplikacji WWW:
• Usługi:– WhiteHat Sentinel
– edgescan
– Acunetix
– Qualys WAS
• Narzędzia:– Subgraph Vega (darmowe !)
– w3af (darmowe !)
– IBM AppScan
Rodzaje
• Narzędzia automatyczne dedykowane dla poszczególnych typów podatności/rozwiązań:
• Qualys SSL Server Test
• OWASP DirBuster, dirs3arch
• Nikto
• sqlmap
• WPScan
Rodzaje
• Zasada działania
• Mocne i słabe strony
• Dostępne narzędzia i ich możliwości
• Czy korzystać?
Podsumowanie
top related