• Home

  • Business

  • QualysGuard InfoDay 2012 - Web Application Scanning
16
www.rac.cz Risk Analysis Consultants V060420 Web Application Scanning RAC QualysGuard InfoDay 2012 1

QualysGuard InfoDay 2012 - Web Application Scanning

Embed Size (px)

DESCRIPTION

Web Application Scanning, WAS,

Citation preview

Page 1: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Web Application Scanning

RAC QualysGuard InfoDay 2012 1

Page 2: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2012 2

Co to je webová aplikaceAplikace klient x server založená převážně na HTML protokoluLogika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java)Každá aplikace je jiná a jedinečná

Webová aplikace

Page 3: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

QG WAS 2.X

Nová verze WAS 2.0Od Q4 2011Současná verze 2.3, postupná drobná vylepšení

Základní vlastnostiSaaS based delivery to get up and running quickly and efficientlyScanning that is scalable to thousands of applicationsHighly automated to reduce resource requirementsAutomated dynamic application scanningAuthenticated and non-authenticated scanningIntelligent web app crawler and scannerUpdated constantly (11 Engine releases since 2010)Deployed in minutes using external and internal scannersScanner training or expertise not neededReports available upon scan completion

RAC QualysGuard InfoDay 2012

Page 4: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

QG WAS – co testuje ?

Všeobecné informace o webové aplikaciStruktura webové aplikaceOdkazy na externí weby, vadné odkazy, seznam emailůVlastnosti Session, Cookies, formulářů

Zranitelnosti SQL InjectionZpůsobeno nedostatečnou validací vstupů Umožňuje získat data z databáze nebo obejít přístupová práva aplikace

Zranitelnosti XSS Cross-site scripting Způsobeno nedostatečnou validací vstupůUmožňují podvrhnout část obsahu webu

Další zranitelnostiStránky generující chybová hlášeníSoubory, adresáře, výpisy adresářů

RAC QualysGuard InfoDay 2012

Page 5: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2012 5

Možnost využití Využití výsledků scanování, import do kataloguVytváření katalogu všech web aplikací (http, https, další porty)Schvalovací proces, obdoba jako u mapování

Funkce pro katalogizaci web aplikací

Page 6: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Průvodce pro konfiguraci

RAC QualysGuard InfoDay 2012 6

Page 7: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Průvodce pro autentizaci

RAC QualysGuard InfoDay 2011 7

Page 8: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2011 8

Formulářové přihlašováníPoužívá většina webů Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různéPři přihlašování použity často další skryté parametry, např. cookiesNení úplně triviální zjistit typ autentizace

Formulářové přihlašování - popis

Page 9: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Autentizace - podpora pro selenium IDE

RAC QualysGuard InfoDay 2011 9

Formulářové přihlašováníUsnadňuje autentizaci Od verze WAS 2.1

Page 10: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Autentizace - podpora pro client certifikáty

RAC QualysGuard InfoDay 2012 10

Formulářové přihlašováníOd verze WAS 2.1Usnadňuje autentizaci u specifických webů

Page 11: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Crawling

RAC QualysGuard InfoDay 2012 11

Přesná specifikace cíle testováníWhite list, Black List, Explicit URL, POST Data Black List Od verze WAS 2.3 – podpora selenium IDE pro definici přístupu

Page 12: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Dynamické tagování

RAC QualysGuard InfoDay 2012 12

Novinka ve specifikace aktiv Bude postupně zavedena ve všech modulech (VM, PC)Nahradí ne příliš pružné rozdělení aktiv do Assets group

Page 13: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Discovery scan

RAC QualysGuard InfoDay 2012 13

Nevyhledává zranitelnostiPouze prochází strukturuV reportu „modré“ informace , slouží hlavně k ladění

Page 14: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Interaktivní reporty

RAC QualysGuard InfoDay 2012 14

Page 15: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0Reporty

RAC QualysGuard InfoDay 2012 15

Page 16: QualysGuard InfoDay 2012 - Web Application Scanning

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2012 16

WAS 2.0 2011New UI, WSDL Fuzzing, XHR Security Origin

WAS 2.1 Nov 17 2011Selenium Authentication, Client Certificates, Additional Links (static pages), “API Framework“

WAS 2.2 Jan 2012New HTML5 detections (engine), API Useable, XHR Testing, Report Enhancements

WAS 2.3 Apr 2012Selenium input and Improved Web Application setting (crawling) , New Enumeration, UI Facelift, Finalized API, More Detections

WAS – souhrn změn


Apollon overview-cip-infoday

Apollon overview-cip-infoday

Business
QualysGuard InfoDay 2012 - SSL LABS

QualysGuard InfoDay 2012 - SSL LABS

Technology
QUALYSGUARD® SCANNER APPLIANCE USER GUIDE

QUALYSGUARD® SCANNER APPLIANCE USER GUIDE

Documents
QualysGuard InfoDay 2012 - BrowserCheck

QualysGuard InfoDay 2012 - BrowserCheck

Documents
QualysGuard - The Course Builder · QualysGuard generates graphical, highly actionable browser reports. Nevertheless, the interface is very clean and simple, and it delivers comprehensive,

QualysGuard - The Course Builder · QualysGuard generates graphical, highly actionable browser reports. Nevertheless, the interface is very clean and simple, and it delivers comprehensive,

Documents
Europeana Newspapers Project - German infoday

Europeana Newspapers Project - German infoday

Technology
Wcm infoday tampa_new_functions_en

Wcm infoday tampa_new_functions_en

Documents
QualysGuard InfoDay 2012 - Malware Detection Service – Enterprise Edition

QualysGuard InfoDay 2012 - Malware Detection Service – Enterprise Edition

Business
QualysGuard ve stručnosti

QualysGuard ve stručnosti

Education
H2020 Financial Rules Infoday

H2020 Financial Rules Infoday

Health & Medicine
QualysGuard Known Issues 20130311

QualysGuard Known Issues 20130311

Documents
QualysGuard InfoDay 2013 - Web Application Firewall

QualysGuard InfoDay 2013 - Web Application Firewall

Technology
QualysGuard Eval

QualysGuard Eval

Documents
Adding&Value&to&Automated&Web&Scans& Burp&Suite… · Automated&Scanning&vs&Manual&Tes;ng& • Manual&Tes;ng&Tools/Suites& • AtMSU&>&QualysGuard&WAS&&&Burp&Suite& • Automated&Scanning&>&iden;fy&aack&surface&accross&

Adding&Value&to&Automated&Web&Scans& Burp&Suite… · Automated&Scanning&vs&Manual&Tes;ng& • Manual&Tes;ng&Tools/Suites& • AtMSU&>&QualysGuard&WAS&&&Burp&Suite& • Automated&Scanning&>&iden;fy&aack&surface&accross&

Documents
QualysGuard(R) Evaluator’s Guide

QualysGuard(R) Evaluator’s Guide

Documents
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Application Firewall

QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Application Firewall

Internet
Javier gabilondo infoday - spri-een

Javier gabilondo infoday - spri-een

Business
QualysGuard Policy Compliance - Qualys, Inc

QualysGuard Policy Compliance - Qualys, Inc

Documents
Jesus ruano ik4 infoday horizonte2020

Jesus ruano ik4 infoday horizonte2020

Business
QualysGuard Quick Tour

QualysGuard Quick Tour

Documents
UiTM Infoday Presentation Demo

UiTM Infoday Presentation Demo

Documents
ATTRACT Phase 2 Infoday

ATTRACT Phase 2 Infoday

Documents
QualysGuard InfoDay 2014 - Asset management

QualysGuard InfoDay 2014 - Asset management

Internet
20 Critical Security Controls and QualysGuard

20 Critical Security Controls and QualysGuard

Technology
Auditing Policy Compliance Qualysguard Cis Benchmarks 33609

Auditing Policy Compliance Qualysguard Cis Benchmarks 33609

Documents
20161201 infoday food

20161201 infoday food

Business
Introduction to QualysGuard IT Compliance … to QualysGuard IT Compliance SaaS Services Marek Skalicky, CISM, CRISC Regional Account Manager for Central & Adriatic Eastern Europe

Introduction to QualysGuard IT Compliance … to QualysGuard IT Compliance SaaS Services Marek Skalicky, CISM, CRISC Regional Account Manager for Central & Adriatic Eastern Europe

Documents
Automate Your Internet Security QualysGuard

Automate Your Internet Security QualysGuard

Documents
apping Q g s data se C urity standard re Q uire M ents©kismertetők/QG_PCI_Coverage.pdf · QualysGuard Suite consists of QualysGuard Vulnerability Management, QualysGuard Policy

apping Q g s data se C urity standard re Q uire M ents©kismertetők/QG_PCI_Coverage.pdf · QualysGuard Suite consists of QualysGuard Vulnerability Management, QualysGuard Policy

Documents
H2020 Infoday Proposals Submission

H2020 Infoday Proposals Submission

Business