O documento discute ferramentas de auditoria de vulnerabilidades em aplicações web. Apresenta o WASSEC (Web Application Security Scanner Evaluation Criteria), um conjunto de critérios para avaliar ferramentas de varredura de segurança web, cobrindo aspectos como protocolos suportados, autenticação, gerenciamento de sessão, rastreamento, análise, testes e controle. O objetivo é ajudar na escolha da ferramenta adequada para as necessidades de cada projeto.
O documento discute testes de penetração (pentest) e fornece as seguintes informações essenciais:
1) Explica o que é um pentest, que simula ataques para testar a segurança de sistemas.
2) Descreve os principais tipos de pentest: externo, interno, de aplicações web e wireless.
3) Detalha a metodologia de pentest, baseada em padrões internacionais.
O documento discute os desafios e o ciclo de vida de um pentest (teste de penetração), incluindo a contratação, resultados, compartilhamento com equipes relevantes, acompanhamento de correções e justificativa de investimento. Também aborda a metodologia TDI, abordagens, entregáveis, custos, gestão de vulnerabilidades e como medir o retorno sobre o investimento em segurança cibernética.
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...SUNLIT Technologies
O documento descreve a solução Acunetix, um scanner de vulnerabilidades para aplicações web. Ele destaca que a Acunetix usa uma abordagem heurística e métodos dinâmicos para identificar vulnerabilidades de forma não destrutiva, e fornece relatórios detalhados. A tecnologia AcuSensor permite identificar novas vulnerabilidades indo além do escaneamento de caixa preta.
Este documento apresenta um artigo sobre pentesting auto-ensinado. Ele discute as etapas de um pentest, incluindo preparação, coleta de informações, identificação de ameaças, análise de vulnerabilidades e invasão. Também aborda conceitos importantes, ferramentas e como construir um laboratório caseiro para praticar pentesting de forma ética.
O documento discute a importância de testes de invasão para proteção de redes corporativas. Ele explica que tais testes simulam ataques para entender os reais riscos de segurança e ajudar a corrigir vulnerabilidades comuns como falta de atualizações, políticas de senha fracas e configurações inseguras de servidores. O documento também descreve problemas de segurança frequentes em cada uma dessas áreas e conclui que auditorias abrangentes são necessárias para identificar falhas básicas de segurança.
Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.
1) O documento discute problemas de segurança em aplicações web, notando que a segurança costumava ser deixada de lado no início do desenvolvimento de aplicações web.
2) Atualmente, quase todas as aplicações web têm problemas de segurança e é difícil criar aplicações razoavelmente seguras, sendo a segurança dispendiosa.
3) O documento fornece conselhos sobre como melhorar a segurança em aplicações PHP, incluindo validar inputs de usuários, usar filtros, evitar inclusão remota de arquivos e spoofing de emails.
O documento discute testes de penetração (pentest) e fornece as seguintes informações essenciais:
1) Explica o que é um pentest, que simula ataques para testar a segurança de sistemas.
2) Descreve os principais tipos de pentest: externo, interno, de aplicações web e wireless.
3) Detalha a metodologia de pentest, baseada em padrões internacionais.
O documento discute os desafios e o ciclo de vida de um pentest (teste de penetração), incluindo a contratação, resultados, compartilhamento com equipes relevantes, acompanhamento de correções e justificativa de investimento. Também aborda a metodologia TDI, abordagens, entregáveis, custos, gestão de vulnerabilidades e como medir o retorno sobre o investimento em segurança cibernética.
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...SUNLIT Technologies
O documento descreve a solução Acunetix, um scanner de vulnerabilidades para aplicações web. Ele destaca que a Acunetix usa uma abordagem heurística e métodos dinâmicos para identificar vulnerabilidades de forma não destrutiva, e fornece relatórios detalhados. A tecnologia AcuSensor permite identificar novas vulnerabilidades indo além do escaneamento de caixa preta.
Este documento apresenta um artigo sobre pentesting auto-ensinado. Ele discute as etapas de um pentest, incluindo preparação, coleta de informações, identificação de ameaças, análise de vulnerabilidades e invasão. Também aborda conceitos importantes, ferramentas e como construir um laboratório caseiro para praticar pentesting de forma ética.
O documento discute a importância de testes de invasão para proteção de redes corporativas. Ele explica que tais testes simulam ataques para entender os reais riscos de segurança e ajudar a corrigir vulnerabilidades comuns como falta de atualizações, políticas de senha fracas e configurações inseguras de servidores. O documento também descreve problemas de segurança frequentes em cada uma dessas áreas e conclui que auditorias abrangentes são necessárias para identificar falhas básicas de segurança.
Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.
1) O documento discute problemas de segurança em aplicações web, notando que a segurança costumava ser deixada de lado no início do desenvolvimento de aplicações web.
2) Atualmente, quase todas as aplicações web têm problemas de segurança e é difícil criar aplicações razoavelmente seguras, sendo a segurança dispendiosa.
3) O documento fornece conselhos sobre como melhorar a segurança em aplicações PHP, incluindo validar inputs de usuários, usar filtros, evitar inclusão remota de arquivos e spoofing de emails.
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
O documento discute o uso da biblioteca OWASP ESAPI para fornecer segurança em aplicações web. Apresenta os objetivos e roteiro do curso, que inclui uma introdução às vulnerabilidades comuns e à arquitetura da ESAPI, com exemplos em Java. Também aborda conceitos como injeção de código e OWASP Top 10.
1. O documento apresenta as 10 vulnerabilidades de segurança mais críticas em aplicações WEB para 2007 de acordo com a OWASP.
2. A metodologia utilizada foi analisar os dados de vulnerabilidades do MITRE para 2006 e selecionar as 10 principais vulnerabilidades relacionadas a aplicações WEB.
3. As 10 vulnerabilidades listadas são: Cross Site Scripting, Falhas de Injeção, Execução Maliciosa de Arquivos, Referência Insegura Direta a Objetos, Cross Site Request Forgery, Vazamento de Informações, Furos de Autent
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP (Open Web Application Security Project) para verificação e auditoria de segurança de aplicações web, desenvolvimento seguro de código e educação em segurança de aplicações. As categorias cobertas incluem verificação automática e manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações e educação em segurança de aplicações.
O documento fornece uma introdução sobre o OWASP (Open Web Application Security Project), descrevendo sua estrutura, projetos, ferramentas, conferências e como contribuir. O OWASP é uma organização internacional sem fins lucrativos que promove a segurança de aplicações web por meio de projetos open source e uma comunidade global de voluntários.
Este documento fornece uma introdução a três projetos de código aberto para recuperação de informação: Nutch, Lucene e Solr. O Nutch é um sistema de busca na web que faz indexação e clustering de documentos. O Lucene é uma biblioteca de pesquisa de texto de alto desempenho. O Solr é um servidor de pesquisa empresarial que usa o Lucene como motor de pesquisa subjacente.
OWASP Top 10 2010 para JavaEE (pt-BR)
Versão traduzida e atualizada do OWASP Top 10 2007 for JavaEE
Traduzida por: Magno Logan (OWASP Paraíba Chapter Leader)
Este documento resume uma apresentação sobre a automatização da análise passiva de aplicações web. Ele discute como a automatização pode nivelar o conhecimento da equipe de testes e garantir a cobertura mínima, analisa os desafios da análise passiva manual e propõe usar ferramentas como o WebFight para parser logs do Burp e extrair informações para análise, melhorando a cobertura. Apresenta também exemplos de análises automatizadas e demonstra a interface de análise.
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP para automação e verificação manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações, educação em segurança de aplicações.
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
Este documento apresenta as dez vulnerabilidades mais críticas em aplicações web de acordo com o OWASP Top 10 de 2007, fornecendo uma breve descrição de cada uma delas e dicas de como tratá-las em PHP. O palestrante discute XSS, falhas de injeção, execução maliciosa de arquivos, referência direta a objetos, CSRF, vazamento de informações, furos de autenticação e outras ameaças comuns.
O documento discute a importância da segurança de aplicações web, mencionando que 75% dos ataques acontecem na camada da aplicação e que 90% dos sites são vulneráveis a ataques. Também aborda causas comuns de vulnerabilidades, como dados de entrada não validados, e recomendações para desenvolvedores, como validação de dados, testes de segurança e uso de guias como OWASP.
Este documento fornece um resumo sobre o ModSecurity, um firewall de aplicação web (WAF) open source. Ele discute como o ModSecurity funciona, como ele é implantado e como ele analisa solicitações e respostas para detectar ataques. O documento também aborda o conjunto de regras principais do ModSecurity e ferramentas como o WAF-FLE para visualização de logs.
1) O documento apresenta a versão em português do OWASP Top 10 e fornece informações sobre sua tradução e participantes.
2) É descrito o projeto OWASP em língua portuguesa e como acessar informações sobre eventos dos capítulos brasileiro e português.
3) São listados os voluntários que participaram da tradução do documento para português.
Desenvolvimento web com python e web2pyRelsi Maron
Este documento apresenta uma oficina sobre desenvolvimento web com Python e o framework Web2py. Apresenta breve introdução ao Python e suas funcionalidades, seguido de explicação sobre o Web2py, seu modelo MVC e ferramentas como DAL, SQLFORM e SQLFORM.grid. Por fim, aborda tópicos como autenticação, mapeamento de URL e deploy da aplicação.
O documento descreve um planejamento de segurança para um website, incluindo testes de vulnerabilidade e desempenho, além de detalhes sobre o sistema operacional, serviços, frameworks e ferramentas que serão utilizados, como OpenBSD, PHP, Apache, MySQL, Joomla e adequações para acessibilidade e padrões e-GOV.
O documento discute o Apache Tajo, um sistema de armazenamento de dados relacional e distribuído para Hadoop. Ele descreve as características do Apache Tajo, incluindo ser rápido, escalável, compatível e fácil de usar, e fornece instruções sobre como instalá-lo. O documento também apresenta demonstrações do Apache Tajo usando uma base de dados de saúde brasileira.
ï€1⁄4 O documento apresenta o Open Web Application Security Project (OWASP), um projeto aberto dedicado à segurança de aplicações web.
ï€1⁄4 O OWASP fornece publicações, ferramentas e software livres para auxiliar na criação de aplicações web seguras, como o guia OWASP Top 10 e as ferramentas WebGoat e WebScarab.
ï€1⁄4 O documento também descreve o funcionamento do OWASP Portugal e suas atividades, como o capítulo local e participação em eventos para promover a segurança de aplicações web
SOA promove integração e orquestração de processos por meio de serviços. WOA estende SOA para aplicações web, permitindo continuidade dos negócios e maior integração de sistemas. REST permite transferência de estado representacional de forma leve e segura, sendo usado por diversas empresas.
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
O documento discute a importância da segurança aplicacional e o papel da OWASP em promover o desenvolvimento de software mais seguro. A OWASP é uma organização aberta dedicada a capacitar organizações a desenvolver, comprar e manter aplicações confiáveis, fornecendo recursos gratuitos à comunidade de desenvolvedores. Vulnerabilidades comuns em aplicações web continuam a permitir ataques cibernéticos devido à falta de percepção sobre segurança por parte de alguns programadores.
Mais conteúdo relacionado
Semelhante a Ferramentas De Auditoria De Wa Apresentacao
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
O documento discute o uso da biblioteca OWASP ESAPI para fornecer segurança em aplicações web. Apresenta os objetivos e roteiro do curso, que inclui uma introdução às vulnerabilidades comuns e à arquitetura da ESAPI, com exemplos em Java. Também aborda conceitos como injeção de código e OWASP Top 10.
1. O documento apresenta as 10 vulnerabilidades de segurança mais críticas em aplicações WEB para 2007 de acordo com a OWASP.
2. A metodologia utilizada foi analisar os dados de vulnerabilidades do MITRE para 2006 e selecionar as 10 principais vulnerabilidades relacionadas a aplicações WEB.
3. As 10 vulnerabilidades listadas são: Cross Site Scripting, Falhas de Injeção, Execução Maliciosa de Arquivos, Referência Insegura Direta a Objetos, Cross Site Request Forgery, Vazamento de Informações, Furos de Autent
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP (Open Web Application Security Project) para verificação e auditoria de segurança de aplicações web, desenvolvimento seguro de código e educação em segurança de aplicações. As categorias cobertas incluem verificação automática e manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações e educação em segurança de aplicações.
O documento fornece uma introdução sobre o OWASP (Open Web Application Security Project), descrevendo sua estrutura, projetos, ferramentas, conferências e como contribuir. O OWASP é uma organização internacional sem fins lucrativos que promove a segurança de aplicações web por meio de projetos open source e uma comunidade global de voluntários.
Este documento fornece uma introdução a três projetos de código aberto para recuperação de informação: Nutch, Lucene e Solr. O Nutch é um sistema de busca na web que faz indexação e clustering de documentos. O Lucene é uma biblioteca de pesquisa de texto de alto desempenho. O Solr é um servidor de pesquisa empresarial que usa o Lucene como motor de pesquisa subjacente.
OWASP Top 10 2010 para JavaEE (pt-BR)
Versão traduzida e atualizada do OWASP Top 10 2007 for JavaEE
Traduzida por: Magno Logan (OWASP Paraíba Chapter Leader)
Este documento resume uma apresentação sobre a automatização da análise passiva de aplicações web. Ele discute como a automatização pode nivelar o conhecimento da equipe de testes e garantir a cobertura mínima, analisa os desafios da análise passiva manual e propõe usar ferramentas como o WebFight para parser logs do Burp e extrair informações para análise, melhorando a cobertura. Apresenta também exemplos de análises automatizadas e demonstra a interface de análise.
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP para automação e verificação manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações, educação em segurança de aplicações.
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
Este documento apresenta as dez vulnerabilidades mais críticas em aplicações web de acordo com o OWASP Top 10 de 2007, fornecendo uma breve descrição de cada uma delas e dicas de como tratá-las em PHP. O palestrante discute XSS, falhas de injeção, execução maliciosa de arquivos, referência direta a objetos, CSRF, vazamento de informações, furos de autenticação e outras ameaças comuns.
O documento discute a importância da segurança de aplicações web, mencionando que 75% dos ataques acontecem na camada da aplicação e que 90% dos sites são vulneráveis a ataques. Também aborda causas comuns de vulnerabilidades, como dados de entrada não validados, e recomendações para desenvolvedores, como validação de dados, testes de segurança e uso de guias como OWASP.
Este documento fornece um resumo sobre o ModSecurity, um firewall de aplicação web (WAF) open source. Ele discute como o ModSecurity funciona, como ele é implantado e como ele analisa solicitações e respostas para detectar ataques. O documento também aborda o conjunto de regras principais do ModSecurity e ferramentas como o WAF-FLE para visualização de logs.
1) O documento apresenta a versão em português do OWASP Top 10 e fornece informações sobre sua tradução e participantes.
2) É descrito o projeto OWASP em língua portuguesa e como acessar informações sobre eventos dos capítulos brasileiro e português.
3) São listados os voluntários que participaram da tradução do documento para português.
Desenvolvimento web com python e web2pyRelsi Maron
Este documento apresenta uma oficina sobre desenvolvimento web com Python e o framework Web2py. Apresenta breve introdução ao Python e suas funcionalidades, seguido de explicação sobre o Web2py, seu modelo MVC e ferramentas como DAL, SQLFORM e SQLFORM.grid. Por fim, aborda tópicos como autenticação, mapeamento de URL e deploy da aplicação.
O documento descreve um planejamento de segurança para um website, incluindo testes de vulnerabilidade e desempenho, além de detalhes sobre o sistema operacional, serviços, frameworks e ferramentas que serão utilizados, como OpenBSD, PHP, Apache, MySQL, Joomla e adequações para acessibilidade e padrões e-GOV.
O documento discute o Apache Tajo, um sistema de armazenamento de dados relacional e distribuído para Hadoop. Ele descreve as características do Apache Tajo, incluindo ser rápido, escalável, compatível e fácil de usar, e fornece instruções sobre como instalá-lo. O documento também apresenta demonstrações do Apache Tajo usando uma base de dados de saúde brasileira.
ï€1⁄4 O documento apresenta o Open Web Application Security Project (OWASP), um projeto aberto dedicado à segurança de aplicações web.
ï€1⁄4 O OWASP fornece publicações, ferramentas e software livres para auxiliar na criação de aplicações web seguras, como o guia OWASP Top 10 e as ferramentas WebGoat e WebScarab.
ï€1⁄4 O documento também descreve o funcionamento do OWASP Portugal e suas atividades, como o capítulo local e participação em eventos para promover a segurança de aplicações web
SOA promove integração e orquestração de processos por meio de serviços. WOA estende SOA para aplicações web, permitindo continuidade dos negócios e maior integração de sistemas. REST permite transferência de estado representacional de forma leve e segura, sendo usado por diversas empresas.
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
O documento discute a importância da segurança aplicacional e o papel da OWASP em promover o desenvolvimento de software mais seguro. A OWASP é uma organização aberta dedicada a capacitar organizações a desenvolver, comprar e manter aplicações confiáveis, fornecendo recursos gratuitos à comunidade de desenvolvedores. Vulnerabilidades comuns em aplicações web continuam a permitir ataques cibernéticos devido à falta de percepção sobre segurança por parte de alguns programadores.
Semelhante a Ferramentas De Auditoria De Wa Apresentacao (20)
1. OWASP @ ISCTE-IUL
Ferramentas de Auditoria de Vulnerabilidades em
Aplicações Web
ISCTE-IUL/DCTI Nuno Teodoro
Instituto Superior de Ciências do Trabalho e da Empresa nuno.filipe.teodoro@gmail.com
Instituto Universitário de Lisboa nfteodoro@hotmail.com (IM)
Departamento de Ciências e Tecnologias de Informação
http://pt.linkedin.com/in/nunoteodoro
http://www.facebook.com/nuno.teodoro
2. Um pouco sobre mim...
2
Licenciado em Engenharia Informática (ISCTE)
Mestrando em Engenharia Informática – SIGC (ISCTE)
Consultor na área de SCCM – Noesis
Colaborador NetMuST
Tese de Mestrado em Segurança Aplicacional – Ethical
Hacking
OWASP @ ISCTE-IUL Abril 2010
3. O que são e para que servem?
3
Ferramentas que automatizam testes nas aplicações web
Testes geralmente concentram-se mas vulnerabilidades
mais comuns
XSS
SQL Injection
Buffer Overflow
...
Geralmente utilizadas no fim do CVDS
OWASP @ ISCTE-IUL Abril 2010
4. O que são e para que servem?
4
CVDS
OWASP @ ISCTE-IUL Abril 2010
5. Motivação – Os mitos
5
Está numa rede Usamos
com firewalls protocolos
proprietários
Temos anti-vírus O nosso SO é
“seguro”
A nossa
aplicação
Usamos Usamos
está segura
passwords encriptação de
“seguras” dados
Usamos SSL ........
OWASP @ ISCTE-IUL Abril 2010
6. Motivação – A realidade
6
Software bug bites U.S.
Military
— BBC, Mar 18,2003
OWASP @ ISCTE-IUL Abril 2010
7. Motivação – A realidade
7
OWASP @ ISCTE-IUL Abril 2010
8. Motivação
8
E se fosse possível
carregar num botão e
ver que
vulnerabilidades
eliminar?
Scan
Vulnerabilities
OWASP @ ISCTE-IUL Abril 2010
9. Antes dos Web Scanners
9
Um pouco de história
Achilles proxy (2000)
Robert Cardona
Proxy que exibia todos os pedidos e respostas e permitia a sua edição
Era complicado
Tinha muitos bugs
Permitia comprometer muitas aplicações naquela altura
OWASP @ ISCTE-IUL Abril 2010
10. Modo Geral de Funcionamento
10
Efectuam crawling numa aplicação web
OWASP @ ISCTE-IUL Abril 2010
11. Modo Geral de Funcionamento
11
Localizam vulnerabilidades na camada aplicacional
Realizam testes de penetração – análise activa através da
simulação de ataques
Manipulam mensagens HTTP
Inspeccionam mensagens HTTP
Detectam atributos suspeitos
Efectuam fuzzing
Inpecção de código
...
OWASP @ ISCTE-IUL Abril 2010
12. Modo Geral de Funcionamento
12
Crawling
Inicializar lista
com URLs
Wanderers, robots, InfoSpiders [Fim]
spiders, fish, Procurar fim
worms...
Focused Crawler
[Sem URLs]
Escolher URL
da lista
Web Context Focused
Crawler
crawlers Ir para o URL
Naive Best-First
Crawler
Efectuar parsing
SharkSearch da página
Adicionar URLs
à lista
OWASP @ ISCTE-IUL Abril 2010
13. Que ferramentas usar e porquê?
13
A escolha das ferramentas a usar é muito complicada
Existem muitas ferramentas comerciais e Open Source
Nem todas devolvem os mesmos resultados
Não sabemos até que ponto os resultados são fiáveis
OWASP @ ISCTE-IUL Abril 2010
14. Escolha da ferramenta - WASSEC
14
Web Application Security Scanner Evaluation Criteria
Secção 1 - Protocol Support
Secção 2 - Authentication
Secção 3 - Session Management
Secção 4 - Crawling
Secção 5 - Parsing
Secção 6 - Testing
Secção 7 - Command and Control
Secção 8 - Reporting
OWASP @ ISCTE-IUL Abril 2010
15. Escolha da ferramenta - WASSEC
15
Secção 1 - Protocol Support
Devem ser suportados todos os protocolos mais usados pelas
aplicações web
HTTP 1.0
HTTP 1.1
SSL / TLS
HTTP Keep Alice
....
OWASP @ ISCTE-IUL Abril 2010
16. Escolha da ferramenta - WASSEC
16
Secção 2 - Authentication
Deve suportar as autenticações mais utilizadas, de modo a ser
capaz de testar aplicações que requiram essa autenticação
Basic
Digest
HTTP Form-based
...
OWASP @ ISCTE-IUL Abril 2010
17. Escolha da ferramenta - WASSEC
17
Secção 3 - Session Management
Durante os testes a uma aplicação web, é essencial que a
ferramenta consiga manter uma sessão aberta e válida durante os
testes
Este cenário é necessário para:
Web crawiling
Fases de testes
Criar manter uma sessão
OWASP @ ISCTE-IUL Abril 2010
18. Escolha da ferramenta - WASSEC
18
Secção 4 – Crawling
Esta função é fundamental pois permite que a ferramenta esteja
“consciente” de todos os caminhos dentro de uma aplicação web
Definir um URL de início
Definir extensões para exclusão
Definir um máximo de profundidade de crawling
Detectar páginas de erro
OWASP @ ISCTE-IUL Abril 2010
19. Escolha da ferramenta - WASSEC
19
Secção 5 – Parsing
O processo de mapeamento do crawler é feito através do parsing
de diferentes tipos de conteúdos para extrair informações
Esta informação é de elevada importância e refere-se a:
HTML
JavaScript
VBScript XML
....
OWASP @ ISCTE-IUL Abril 2010
20. Escolha da ferramenta - WASSEC
20
Secção 6 – Testing
Esta é a funcionalidade mais relevante numa ferramentas de
auditoria
Configuração de testes
Nome do Host ou IP
Extensões de ficheiros
Cookies
...
Capacidades de testes
Autenticação
Autorização
Ataques do lado do cliente
OWASP @ ISCTE-IUL
... Abril 2010
21. Escolha da ferramenta - WASSEC
21
Secção 7 - Command and Control
Têm bastante influência na usabilidade por isso deve ser
considerado um critério importante
Controlo das capacidades de scan
Calendarização
Pause e Resume
Real-time scans
...
Interfaces fornecidas
Extensão e interoperabilidade
Existência de APIs
Conjugação com outras ferramentas
OWASP @ ISCTE-IUL Abril 2010
22. Escolha da ferramenta - WASSEC
22
Secção 8 - Reporting
As ferramentas deverão ser capazes de produzir relatórios e de
suportar costumização dos mesmos
Tipos de relatórios
Sumário executivo
Relatório técnico detalhado
Informação sobre cada vulnerabilidade e medidas de mitigação
Costumização
Formato
PDF
XML
OWASP @ ISCTE-IUL Abril 2010
27. Ferramentas de Auditoria
27
RSS Database security HTTP general
HTTP proxying / extensions
editing assessment testing /
and fingerprinting
caching
Browser-based SQL
HTTP tampering injection
/ editing / scanning
replaying
Web services
enumeration /
Ajax and scanning /
XHR fuzzing
scanning
Cookie editing / Web application security
poisoning malware, backdoors, and
evil code
OWASP @ ISCTE-IUL Abril 2010
28. Ferramentas de Auditoria - SECTOOLS
28
Top 10 - sectools
1 2 3 4
Nikto WebScarab
5 6 7 8
libwhisker Wikto
9 10
OWASP @ ISCTE-IUL Abril 2010
29. Ferramentas de Auditoria - Avaliação
29
Preparação
Testes
Comparação de resultados
OWASP @ ISCTE-IUL Abril 2010
30. Ferramentas de Auditoria - Avaliação
30
Preparação
Determinar quais os pontos do WASSEC são mais importante
Cada utilizador tem as suas necessidades e preferências pessoais
Avaliar um conjunto de características adicionais
Custo de aquisição
Custos de suporte
Custos adicionais (e.g. hardware)
Facilidade de utilização
Qualidade da documentação
Disponibilidade de suporte (telefone, web, e-mail, etc)
Disponibilidade de formação
Capacidades de update das capacidades do produto
Restrições de licença
OWASP @ ISCTE-IUL Abril 2010
31. Ferramentas de Auditoria - Avaliação
31
Preparação
Decidir que ferramentas serão alvo da avaliação
Obter a última versão de cada ferramenta
Efectuar uma lista das aplicações web que serão testadas
Consumo de tempo!
Escolher mais que uma tecnologia
Autorizações para efectuar os testes
Documentar as características das aplicações caso os resultados
sejam para ser tornados públicos
OWASP @ ISCTE-IUL Abril 2010
32. Ferramentas de Auditoria - Avaliação
32
Testes
As ferramentas permitem várias configurações para efectuar os
testes
Devem ser usadas essas várias configurações
Maior cobertura de vulnerabilidades
Configurar vários níveis de defesa
Nível 0 – sem defesas
Nível 1 – nível 0 + filtros
Nível 2 – nível 1 + funções especiais
…
OWASP @ ISCTE-IUL Abril 2010
34. Ferramentas de Auditoria - Avaliação
34
Comparação de resultados
Para cada teste avaliar os pesos dados segundo as nossas
preferências da WASSEC
Próximo documento WASSEC já prevê os pesos mais comuns dos
utilizadores
Avaliar características extra definidas por nós
OWASP @ ISCTE-IUL Abril 2010
35. Prós e Contras
35
Prós
Recursos temporais limitados
Podem poupar muito tempo em vulnerabilidades facilmente
detectáveis pelas ferramentas
Boas soluções custo/eficácia
Soluções PaS
Recursos humanos limitados
Exige pouco conhecimento técnico
Boa solução para as fases finais do CVDS
Automatização de testes frequentes
OWASP @ ISCTE-IUL Abril 2010
36. Prós e Contras
36
Contras
Fiabilidade das ferramentas
Não são A solução
Não significa que não existam falhas se estas não forem contradas
Têm limitações
Custos
Tempo de scanning
Dependendo da aplicação, o próprio crawling pode demorar dias
OWASP @ ISCTE-IUL Abril 2010
37. Web Application Attack and Audit
37
Framework
Web Application Attack and Audit Framework
http://w3af.sourceforge.net/
Autor: Andres Riancho
“w3af is a Web Application Attack and Audit Framework. The
project's goal is to create a framework to find and exploit
web application vulnerabilities that is easy to use and extend.”
OWASP @ ISCTE-IUL Abril 2010
44. Onde Testar?
44
Importante pedir autorizações para testar aplicações
web reais
Problemas legais caso contrário
Lei do cibercrime
Permite perceber até que ponto as ferramentas são
eficazes a descobrir quais vulnerabilidades
Diferentes configurações para a mesma vulnerabilidade
OWASP @ ISCTE-IUL Abril 2010
45. Conclusões
45
O que sao web scanners
Para que servem
Como funcionam
Como devem ser avaliados
OWASP @ ISCTE-IUL Abril 2010
46. Conclusões
46
Pros
Contras
Onde Testar
OWASP @ ISCTE-IUL Abril 2010
47. OWASP @ ISCTE-IUL
Ferramentas de Auditoria de Vulnerabilidades em
Aplicações Web
ISCTE-IUL/DCTI Nuno Teodoro
Instituto Superior de Ciências do Trabalho e da Empresa nuno.filipe.teodoro@gmail.com
Instituto Universitário de Lisboa nfteodoro@hotmail.com (IM)
Departamento de Ciências e Tecnologias de Informação
http://pt.linkedin.com/in/nunoteodoro
http://www.facebook.com/nuno.teodoro