SlideShare uma empresa Scribd logo

Detectando Vulnerabilidades em seu Site utilizando OWASP ZAP - Zed Attack Proxy

Jeronimo Zucco
Jeronimo Zucco

O documento apresenta a ferramenta OWASP Zed Attack Proxy (ZAP), que é um proxy gratuito e de código aberto usado para testar a segurança de aplicações web, identificando vulnerabilidades por meio de varreduras ativas e passivas. O ZAP fornece diversas funcionalidades para pentesters e desenvolvedores, como proxy, spider, scanners, fuzzing e relatórios.

Software
1 de 28
Baixar para ler offline
OWASP ZAP Zed Attack Proxy Project Detectando Vulnerabilidades em sua Aplicação Web  jeronimo.zucco@owasp.org @jczucco
Sobre mim • Analista GTI/UCS • Twitter: @jczucco • http://www.linkedin.com/in/jeronimozucco • Membro OWASP Capítulo Porto Alegre • http://www.owasp.org/index.php/User:Jeronimo_Zucco • Algumas certificações na área de segurança 2
3 OWASP Open Web Application Security Project Uma comunidade aberta dedicada a ajudar as organizações a desenvolver, comprar e manter aplicações que possam ser confiáveis.
OWASP 4 • Promover o desenvolvimento seguro • Auxiliar a tomada de decisão quanto ao risco • Oferecer recursos gratuitos • Promover a contribuição e compartilhamento de informação
5 5 https://www.owasp.org/index.php/Porto_Alegre
6
Problemas • A maioria dos desenvolvedores não conhece sobre segurança • A maior parte das empresas não possui pessoas especializadas em segurança • Testes terceirizados custam caro • Testes de segurança são feitos somente no final do ciclo de desenvolvimento (se for feito) 7 Fonte: https://www.acunetix.com/blog/news/nearly-all-websites-have-serious-security-vulnerabilities-new-research-shows/
8 "Você não pode criar aplicações web seguras a não ser que saiba como elas serão atacadas."
9
10
11 OWASP Zed Attack Proxy Project
OWASP Zed Attack Proxy Project • https://www.owasp.org/index.php/ OWASP_Zed_Attack_Proxy_Project • Simon Bennetts - Engenheiro de Segurança da Mozilla • Vários desenvolvedores e tradutores no github: https://github.com/zaproxy/zaproxy/ • Ferramenta de pentest de fácil uso que visa identificar vulnerabilidades em aplicações web. • Uma das principais ferramentas da OWASP • free e opensource 12 Fonte: AppSec EU15 - Jim Manico
OWASP Zed Attack Proxy Project • Baseado no Paros Proxy (fork em set/2010) • Ideal para principiantes, mas também utilizado por profissionais de segurança • Ideal para desenvolvedores, especialmente em testes automatizados de segurança • versão atual: 2.7.0 • framework para testes avançados • scanners automatizados 13 Fonte: AppSec EU15 - Jim Manico
IMPORTANTE 14 Use somente em suas aplicações ou naquelas que você tiver permissão para testar
Princípios ZAP • Código aberto, livre • Funciona em múltiplas plataformas (java) • Fácil de instalar e usar • Internacionalizado (traduzido em vários idiomas, pt-br inclusive) • Muita documentação • Componentes reutilizáveis • Envolvimento encorajado 15
Principais Características • Traz todo o essencial para testes de aplicações web • Proxy • Scanners passivos e ativos • Spider (crawl) • Suporte à escopo e múltiplos sites • Trata sessões e autenticação • gerador de relatórios • Ataques de força bruta • Ataques de fuzzing • Extensível (add-ons plugins) https://github.com/ zaproxy/zap-extensions • Altamente configurável e "escriptável" 16
Características Adicionais • Auto update • Auto tagging (ex: coloca um label em todas as páginas encontradas que possuem um campos ocultos) • Scanner de portas • Análises de parâmetros • Comparação de sessões (se a app suporte múltiplos papéis (roles), como: admin, usuário, etc) • Suporte a aplicações externas • Certificados SSL dinâmicos • Suporte à tokens CSRF • Testes automatizados sem UI (interface de usuário) 17
Características Adicionais • REST API • Container: https://github.com/zaproxy/zaproxy/ wiki/Docker • Baseline Scan https://github.com/zaproxy/zaproxy/ wiki/ZAP-Baseline-Scan • Ex: docker run -t owasp/zap2docker-weekly zap- baseline.py -t https://www.example.com • Plug-n-Hack: Extensão browser • Suporte à scripts em várias linguagens (Javascript, Ruby, Python, Zest) https://github.com/zaproxy/ community-scripts • Plugins alfa 18
Modo Quick Start • Aponte e clique • Spider • Varredura ativa • Para testes mais profundos, modo proxy, fuzzing, força bruta, configuração, escopo, etc 19
Pentest Simples • Configurar o browser para utilizar o ZAP como proxy para interceptar • Navegar na aplicação manualmente • Utilizar o spider para encontrar conteúdos ocultos • Verificar os problemas encontrados pelo scan passivo • Usar o scan ativo para encontrar vulnerabilidades • OBS: muitos problemas não serão encontrados com scan automatizados, utilizar o ZAP para lhe auxiliar em testes manuais mais avançados • 20
Testes Automatizados • ZAP Baseline Scan https://github.com/zaproxy/ zaproxy/wiki/ZAP-Baseline-Scan • Plugin Jenkins https://plugins.jenkins.io/zap • Scripts: https://github.com/zaproxy/ community-scripts • ZAP SDLC scripts: https://github.com/zaproxy/ community-scripts/tree/master/api/sdlc- integration • Suporte à Zest scripts https://github.com/ mozilla/zest/wiki 21
VMs para aprendizado • Samurai Web Testing Framework http://www.samurai-wtf.org • OWASP Broken Web Applications Project https://www.owasp.org/index.php/ OWASP_Broken_Web_Applications_Project 22
DEMONSTRAÇÃO
24 Referências
Outras Referências • BSSIM (Building Security in Maturity Model) • OWASP ASVS (OWASP Application Security Verification Standard (ASVS) Project) • OWASP Testing Guide • IEEE Top 10 Software Security Design Flaws • OWASP Testing Guide 25
Referências - ZAP • https://www.owasp.org/index.php/ZAP • OWASP ZAP Tutorial Videos: https:// www.youtube.com/playlist?list=PLEBitBW- Hlsv8cEIUntAO8st2UGhmrjUB • https://twitter.com/zaproxybot • https://github.com/zaproxy/zap-core-help- pt_BR/wiki/HelpIntro • Getting Started Guide: https://github.com/ zaproxy/zaproxy/releases/download/2.6.0/ ZAPGettingStartedGuide-2.6.pdf • https://www.slideshare.net/psiinon 26
PERGUNTAS?
OBRIGADO! JERONIMO.ZUCO@OWASP.ORG @JCZUCCO

Recomendados

ATDD Using Robot Framework
ATDD Using Robot FrameworkATDD Using Robot Framework
ATDD Using Robot Framework
Pekka Klärck
 
Robot Framework Dos And Don'ts
Robot Framework Dos And Don'tsRobot Framework Dos And Don'ts
Robot Framework Dos And Don'ts
Pekka Klärck
 
Cypress Testing.pptx
Cypress Testing.pptxCypress Testing.pptx
Cypress Testing.pptx
JasmeenShrestha
 
Test Automation Tool comparison – HP UFT/QTP vs. Selenium
Test Automation Tool comparison – HP UFT/QTP vs. SeleniumTest Automation Tool comparison – HP UFT/QTP vs. Selenium
Test Automation Tool comparison – HP UFT/QTP vs. Selenium
Aspire Systems
 
Intuit's Accessibility Champion Program - Coaching and Celebrating
Intuit's Accessibility Champion Program - Coaching and Celebrating Intuit's Accessibility Champion Program - Coaching and Celebrating
Intuit's Accessibility Champion Program - Coaching and Celebrating
Ted Drake
 
Best Practices For Game Development Using Perforce Streams
Best Practices For Game Development Using Perforce Streams Best Practices For Game Development Using Perforce Streams
Best Practices For Game Development Using Perforce Streams
Perforce
 
#SitBERN modern abap development with abapgit
#SitBERN modern abap development with abapgit#SitBERN modern abap development with abapgit
#SitBERN modern abap development with abapgit
Christian Günter
 
Introduction To Appium With Robotframework
Introduction To Appium With RobotframeworkIntroduction To Appium With Robotframework
Introduction To Appium With Robotframework
Syam Sasi
 

Recomendados

ATDD Using Robot Framework
ATDD Using Robot FrameworkATDD Using Robot Framework
ATDD Using Robot Framework
Pekka Klärck
 
Robot Framework Dos And Don'ts
Robot Framework Dos And Don'tsRobot Framework Dos And Don'ts
Robot Framework Dos And Don'ts
Pekka Klärck
 
Cypress Testing.pptx
Cypress Testing.pptxCypress Testing.pptx
Cypress Testing.pptx
JasmeenShrestha
 
Test Automation Tool comparison – HP UFT/QTP vs. Selenium
Test Automation Tool comparison – HP UFT/QTP vs. SeleniumTest Automation Tool comparison – HP UFT/QTP vs. Selenium
Test Automation Tool comparison – HP UFT/QTP vs. Selenium
Aspire Systems
 
Intuit's Accessibility Champion Program - Coaching and Celebrating
Intuit's Accessibility Champion Program - Coaching and Celebrating Intuit's Accessibility Champion Program - Coaching and Celebrating
Intuit's Accessibility Champion Program - Coaching and Celebrating
Ted Drake
 
Best Practices For Game Development Using Perforce Streams
Best Practices For Game Development Using Perforce Streams Best Practices For Game Development Using Perforce Streams
Best Practices For Game Development Using Perforce Streams
Perforce
 
#SitBERN modern abap development with abapgit
#SitBERN modern abap development with abapgit#SitBERN modern abap development with abapgit
#SitBERN modern abap development with abapgit
Christian Günter
 
Introduction To Appium With Robotframework
Introduction To Appium With RobotframeworkIntroduction To Appium With Robotframework
Introduction To Appium With Robotframework
Syam Sasi
 
Introduction to Test Automation
Introduction to Test AutomationIntroduction to Test Automation
Introduction to Test Automation
Pekka Klärck
 
12 factor app an introduction
12 factor app an introduction12 factor app an introduction
12 factor app an introduction
Krishna-Kumar
 
Selenium introduction
Selenium introductionSelenium introduction
Selenium introduction
Deepak Kumar Digar
 
Metrics to Power DevOps
Metrics to Power DevOps Metrics to Power DevOps
Metrics to Power DevOps
CollabNet
 
발표자료 1인qa로살아남는6가지방법
발표자료 1인qa로살아남는6가지방법발표자료 1인qa로살아남는6가지방법
발표자료 1인qa로살아남는6가지방법
SangIn Choung
 
Module-1_Getting-Started_with_selenium_and_Java_basics.pdf
Module-1_Getting-Started_with_selenium_and_Java_basics.pdfModule-1_Getting-Started_with_selenium_and_Java_basics.pdf
Module-1_Getting-Started_with_selenium_and_Java_basics.pdf
devika266518
 
Git flow Introduction
Git flow IntroductionGit flow Introduction
Git flow Introduction
David Paluy
 
Robot framework Gowthami Goli
Robot framework Gowthami GoliRobot framework Gowthami Goli
Robot framework Gowthami Goli
Gowthami Buddi
 
An Introduction to Test Driven Development
An Introduction to Test Driven Development An Introduction to Test Driven Development
An Introduction to Test Driven Development
CodeOps Technologies LLP
 
Accelerating DevOps with ChatOps
Accelerating DevOps with ChatOpsAccelerating DevOps with ChatOps
Accelerating DevOps with ChatOps
Rohan Rath
 
Embracing Observability in CI/CD with OpenTelemetry
Embracing Observability in CI/CD with OpenTelemetryEmbracing Observability in CI/CD with OpenTelemetry
Embracing Observability in CI/CD with OpenTelemetry
Cyrille Le Clerc
 
API Testing with Open Source Code and Cucumber
API Testing with Open Source Code and CucumberAPI Testing with Open Source Code and Cucumber
API Testing with Open Source Code and Cucumber
SmartBear
 
Automation Testing by Selenium Web Driver
Automation Testing by Selenium Web DriverAutomation Testing by Selenium Web Driver
Automation Testing by Selenium Web Driver
Cuelogic Technologies Pvt. Ltd.
 
Test automation proposal
Test automation proposalTest automation proposal
Test automation proposal
Mihai-Cristian Fratila
 
Distributed tracing using open tracing & jaeger 2
Distributed tracing using open tracing & jaeger 2Distributed tracing using open tracing & jaeger 2
Distributed tracing using open tracing & jaeger 2
Chandresh Pancholi
 
CI/CD with Github Actions
CI/CD with Github ActionsCI/CD with Github Actions
CI/CD with Github Actions
Md. Minhazul Haque
 
Gatling
Gatling Gatling
Gatling
Gaurav Shukla
 
Programming tools for developers
Programming tools for developersProgramming tools for developers
Programming tools for developers
BBVA API Market
 
Workflows in WSO2 API Manager - WSO2 API Manager Community Call (12/15/2021)
Workflows in WSO2 API Manager - WSO2 API Manager Community Call (12/15/2021)Workflows in WSO2 API Manager - WSO2 API Manager Community Call (12/15/2021)
Workflows in WSO2 API Manager - WSO2 API Manager Community Call (12/15/2021)
WSO2
 
Preparing for SRE Interviews
Preparing for SRE InterviewsPreparing for SRE Interviews
Preparing for SRE Interviews
Shivam Mitra
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
Jeronimo Zucco
 

Mais conteúdo relacionado

Mais procurados

Embracing Observability in CI/CD with OpenTelemetry
Embracing Observability in CI/CD with OpenTelemetryEmbracing Observability in CI/CD with OpenTelemetry
Embracing Observability in CI/CD with OpenTelemetry
Cyrille Le Clerc
 

Mais procurados (20)

Introduction to Test Automation
Introduction to Test AutomationIntroduction to Test Automation
Introduction to Test Automation
 
12 factor app an introduction
12 factor app an introduction12 factor app an introduction
12 factor app an introduction
 
Selenium introduction
Selenium introductionSelenium introduction
Selenium introduction
 
Metrics to Power DevOps
Metrics to Power DevOps Metrics to Power DevOps
Metrics to Power DevOps
 
발표자료 1인qa로살아남는6가지방법
발표자료 1인qa로살아남는6가지방법발표자료 1인qa로살아남는6가지방법
발표자료 1인qa로살아남는6가지방법
 
Module-1_Getting-Started_with_selenium_and_Java_basics.pdf
Module-1_Getting-Started_with_selenium_and_Java_basics.pdfModule-1_Getting-Started_with_selenium_and_Java_basics.pdf
Module-1_Getting-Started_with_selenium_and_Java_basics.pdf
 
Git flow Introduction
Git flow IntroductionGit flow Introduction
Git flow Introduction
 
Robot framework Gowthami Goli
Robot framework Gowthami GoliRobot framework Gowthami Goli
Robot framework Gowthami Goli
 
An Introduction to Test Driven Development
An Introduction to Test Driven Development An Introduction to Test Driven Development
An Introduction to Test Driven Development
 
Accelerating DevOps with ChatOps
Accelerating DevOps with ChatOpsAccelerating DevOps with ChatOps
Accelerating DevOps with ChatOps
 
Embracing Observability in CI/CD with OpenTelemetry
Embracing Observability in CI/CD with OpenTelemetryEmbracing Observability in CI/CD with OpenTelemetry
Embracing Observability in CI/CD with OpenTelemetry
 
API Testing with Open Source Code and Cucumber
API Testing with Open Source Code and CucumberAPI Testing with Open Source Code and Cucumber
API Testing with Open Source Code and Cucumber
 
Automation Testing by Selenium Web Driver
Automation Testing by Selenium Web DriverAutomation Testing by Selenium Web Driver
Automation Testing by Selenium Web Driver
 
Test automation proposal
Test automation proposalTest automation proposal
Test automation proposal
 
Distributed tracing using open tracing & jaeger 2
Distributed tracing using open tracing & jaeger 2Distributed tracing using open tracing & jaeger 2
Distributed tracing using open tracing & jaeger 2
 
CI/CD with Github Actions
CI/CD with Github ActionsCI/CD with Github Actions
CI/CD with Github Actions
 
Gatling
Gatling Gatling
Gatling
 
Programming tools for developers
Programming tools for developersProgramming tools for developers
Programming tools for developers
 
Workflows in WSO2 API Manager - WSO2 API Manager Community Call (12/15/2021)
Workflows in WSO2 API Manager - WSO2 API Manager Community Call (12/15/2021)Workflows in WSO2 API Manager - WSO2 API Manager Community Call (12/15/2021)
Workflows in WSO2 API Manager - WSO2 API Manager Community Call (12/15/2021)
 
Preparing for SRE Interviews
Preparing for SRE InterviewsPreparing for SRE Interviews
Preparing for SRE Interviews
 

Semelhante a Detectando Vulnerabilidades em seu Site utilizando OWASP ZAP - Zed Attack Proxy

Ruby on Rails 100% na cloud com heroku e outros serviços
Ruby on Rails 100% na cloud com heroku e outros serviçosRuby on Rails 100% na cloud com heroku e outros serviços
Ruby on Rails 100% na cloud com heroku e outros serviços
Bruno Ghisi
 
OpenShift: NoSQL "a la carte" num PaaS 100% Open Source
OpenShift: NoSQL "a la carte" num PaaS 100% Open SourceOpenShift: NoSQL "a la carte" num PaaS 100% Open Source
OpenShift: NoSQL "a la carte" num PaaS 100% Open Source
Edgar Silva
 
escalando aplicações django
escalando aplicações djangoescalando aplicações django
escalando aplicações django
Andrews Medina
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 

Semelhante a Detectando Vulnerabilidades em seu Site utilizando OWASP ZAP - Zed Attack Proxy (20)

Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
Ruby on Rails 100% na cloud com heroku e outros serviços
Ruby on Rails 100% na cloud com heroku e outros serviçosRuby on Rails 100% na cloud com heroku e outros serviços
Ruby on Rails 100% na cloud com heroku e outros serviços
 
OpenShift: NoSQL "a la carte" num PaaS 100% Open Source
OpenShift: NoSQL "a la carte" num PaaS 100% Open SourceOpenShift: NoSQL "a la carte" num PaaS 100% Open Source
OpenShift: NoSQL "a la carte" num PaaS 100% Open Source
 
Introdução a Plataforma Android
Introdução a Plataforma AndroidIntrodução a Plataforma Android
Introdução a Plataforma Android
 
Construindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoConstruindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em Go
 
Integração do Zabbix com Grafana
Integração do Zabbix com GrafanaIntegração do Zabbix com Grafana
Integração do Zabbix com Grafana
 
DevOps: desenvolvedores e sysadmins cooperando na prática
DevOps: desenvolvedores e sysadmins cooperando na práticaDevOps: desenvolvedores e sysadmins cooperando na prática
DevOps: desenvolvedores e sysadmins cooperando na prática
 
Api todo list
Api todo listApi todo list
Api todo list
 
CNQS - Testes Automatizados & Continuous Delivery
CNQS - Testes Automatizados & Continuous DeliveryCNQS - Testes Automatizados & Continuous Delivery
CNQS - Testes Automatizados & Continuous Delivery
 
Machine Learning Black Boxes
Machine Learning Black BoxesMachine Learning Black Boxes
Machine Learning Black Boxes
 
TDC2016SP - Machine Learning Black Boxes - Terceirizando o Trabalho Duro
TDC2016SP - Machine Learning Black Boxes - Terceirizando o Trabalho DuroTDC2016SP - Machine Learning Black Boxes - Terceirizando o Trabalho Duro
TDC2016SP - Machine Learning Black Boxes - Terceirizando o Trabalho Duro
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
Tchelinux live 2020 - Detectando e Respondendo Incidentes de Segurança em Fro...
 
De 0 a DevOps
De 0 a DevOpsDe 0 a DevOps
De 0 a DevOps
 
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...
 
escalando aplicações django
escalando aplicações djangoescalando aplicações django
escalando aplicações django
 
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
Samanta Cicilia - MTC - Importância de Testes Automatizados para Continuous D...
 
Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 

Mais de Jeronimo Zucco

Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Jeronimo Zucco
 

Mais de Jeronimo Zucco (9)

Disponibilização de Serviços em IPv6 na UCS - Um Caso Prático
Disponibilização de Serviços em IPv6 na UCS - Um Caso PráticoDisponibilização de Serviços em IPv6 na UCS - Um Caso Prático
Disponibilização de Serviços em IPv6 na UCS - Um Caso Prático
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
 
Segurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações
Segurança Através de Gerência de Configurações
 
Owasp top 10 2013
Owasp top 10 2013Owasp top 10 2013
Owasp top 10 2013
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de software
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications Firewalls
 
Impacto das Redes Sociais na Segurança da Informação
Impacto das Redes Sociais na Segurança da InformaçãoImpacto das Redes Sociais na Segurança da Informação
Impacto das Redes Sociais na Segurança da Informação
 
Implementing ossec
Implementing ossecImplementing ossec
Implementing ossec
 

Detectando Vulnerabilidades em seu Site utilizando OWASP ZAP - Zed Attack Proxy

  • 1. OWASP ZAP Zed Attack Proxy Project Detectando Vulnerabilidades em sua Aplicação Web  jeronimo.zucco@owasp.org @jczucco
  • 2. Sobre mim • Analista GTI/UCS • Twitter: @jczucco • http://www.linkedin.com/in/jeronimozucco • Membro OWASP Capítulo Porto Alegre • http://www.owasp.org/index.php/User:Jeronimo_Zucco • Algumas certificações na área de segurança 2
  • 3. 3 OWASP Open Web Application Security Project Uma comunidade aberta dedicada a ajudar as organizações a desenvolver, comprar e manter aplicações que possam ser confiáveis.
  • 4. OWASP 4 • Promover o desenvolvimento seguro • Auxiliar a tomada de decisão quanto ao risco • Oferecer recursos gratuitos • Promover a contribuição e compartilhamento de informação
  • 6. 6
  • 7. Problemas • A maioria dos desenvolvedores não conhece sobre segurança • A maior parte das empresas não possui pessoas especializadas em segurança • Testes terceirizados custam caro • Testes de segurança são feitos somente no final do ciclo de desenvolvimento (se for feito) 7 Fonte: https://www.acunetix.com/blog/news/nearly-all-websites-have-serious-security-vulnerabilities-new-research-shows/
  • 8. 8 "Você não pode criar aplicações web seguras a não ser que saiba como elas serão atacadas."
  • 9. 9
  • 10. 10
  • 11. 11 OWASP Zed Attack Proxy Project
  • 12. OWASP Zed Attack Proxy Project • https://www.owasp.org/index.php/ OWASP_Zed_Attack_Proxy_Project • Simon Bennetts - Engenheiro de Segurança da Mozilla • Vários desenvolvedores e tradutores no github: https://github.com/zaproxy/zaproxy/ • Ferramenta de pentest de fácil uso que visa identificar vulnerabilidades em aplicações web. • Uma das principais ferramentas da OWASP • free e opensource 12 Fonte: AppSec EU15 - Jim Manico
  • 13. OWASP Zed Attack Proxy Project • Baseado no Paros Proxy (fork em set/2010) • Ideal para principiantes, mas também utilizado por profissionais de segurança • Ideal para desenvolvedores, especialmente em testes automatizados de segurança • versão atual: 2.7.0 • framework para testes avançados • scanners automatizados 13 Fonte: AppSec EU15 - Jim Manico
  • 14. IMPORTANTE 14 Use somente em suas aplicações ou naquelas que você tiver permissão para testar
  • 15. Princípios ZAP • Código aberto, livre • Funciona em múltiplas plataformas (java) • Fácil de instalar e usar • Internacionalizado (traduzido em vários idiomas, pt-br inclusive) • Muita documentação • Componentes reutilizáveis • Envolvimento encorajado 15
  • 16. Principais Características • Traz todo o essencial para testes de aplicações web • Proxy • Scanners passivos e ativos • Spider (crawl) • Suporte à escopo e múltiplos sites • Trata sessões e autenticação • gerador de relatórios • Ataques de força bruta • Ataques de fuzzing • Extensível (add-ons plugins) https://github.com/ zaproxy/zap-extensions • Altamente configurável e "escriptável" 16
  • 17. Características Adicionais • Auto update • Auto tagging (ex: coloca um label em todas as páginas encontradas que possuem um campos ocultos) • Scanner de portas • Análises de parâmetros • Comparação de sessões (se a app suporte múltiplos papéis (roles), como: admin, usuário, etc) • Suporte a aplicações externas • Certificados SSL dinâmicos • Suporte à tokens CSRF • Testes automatizados sem UI (interface de usuário) 17
  • 18. Características Adicionais • REST API • Container: https://github.com/zaproxy/zaproxy/ wiki/Docker • Baseline Scan https://github.com/zaproxy/zaproxy/ wiki/ZAP-Baseline-Scan • Ex: docker run -t owasp/zap2docker-weekly zap- baseline.py -t https://www.example.com • Plug-n-Hack: Extensão browser • Suporte à scripts em várias linguagens (Javascript, Ruby, Python, Zest) https://github.com/zaproxy/ community-scripts • Plugins alfa 18
  • 19. Modo Quick Start • Aponte e clique • Spider • Varredura ativa • Para testes mais profundos, modo proxy, fuzzing, força bruta, configuração, escopo, etc 19
  • 20. Pentest Simples • Configurar o browser para utilizar o ZAP como proxy para interceptar • Navegar na aplicação manualmente • Utilizar o spider para encontrar conteúdos ocultos • Verificar os problemas encontrados pelo scan passivo • Usar o scan ativo para encontrar vulnerabilidades • OBS: muitos problemas não serão encontrados com scan automatizados, utilizar o ZAP para lhe auxiliar em testes manuais mais avançados • 20
  • 21. Testes Automatizados • ZAP Baseline Scan https://github.com/zaproxy/ zaproxy/wiki/ZAP-Baseline-Scan • Plugin Jenkins https://plugins.jenkins.io/zap • Scripts: https://github.com/zaproxy/ community-scripts • ZAP SDLC scripts: https://github.com/zaproxy/ community-scripts/tree/master/api/sdlc- integration • Suporte à Zest scripts https://github.com/ mozilla/zest/wiki 21
  • 22. VMs para aprendizado • Samurai Web Testing Framework http://www.samurai-wtf.org • OWASP Broken Web Applications Project https://www.owasp.org/index.php/ OWASP_Broken_Web_Applications_Project 22
  • 25. Outras Referências • BSSIM (Building Security in Maturity Model) • OWASP ASVS (OWASP Application Security Verification Standard (ASVS) Project) • OWASP Testing Guide • IEEE Top 10 Software Security Design Flaws • OWASP Testing Guide 25
  • 26. Referências - ZAP • https://www.owasp.org/index.php/ZAP • OWASP ZAP Tutorial Videos: https:// www.youtube.com/playlist?list=PLEBitBW- Hlsv8cEIUntAO8st2UGhmrjUB • https://twitter.com/zaproxybot • https://github.com/zaproxy/zap-core-help- pt_BR/wiki/HelpIntro • Getting Started Guide: https://github.com/ zaproxy/zaproxy/releases/download/2.6.0/ ZAPGettingStartedGuide-2.6.pdf • https://www.slideshare.net/psiinon 26