View
562
Download
0
Embed Size (px)
DESCRIPTION
Web Application Scanning, WAS,
Citation preview
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Web Application Scanning
RAC QualysGuard InfoDay 2012 1
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2012 2
Co to je webová aplikaceAplikace klient x server založená převážně na HTML protokoluLogika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java)Každá aplikace je jiná a jedinečná
Webová aplikace
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
QG WAS 2.X
Nová verze WAS 2.0Od Q4 2011Současná verze 2.3, postupná drobná vylepšení
Základní vlastnostiSaaS based delivery to get up and running quickly and efficientlyScanning that is scalable to thousands of applicationsHighly automated to reduce resource requirementsAutomated dynamic application scanningAuthenticated and non-authenticated scanningIntelligent web app crawler and scannerUpdated constantly (11 Engine releases since 2010)Deployed in minutes using external and internal scannersScanner training or expertise not neededReports available upon scan completion
RAC QualysGuard InfoDay 2012
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
QG WAS – co testuje ?
Všeobecné informace o webové aplikaciStruktura webové aplikaceOdkazy na externí weby, vadné odkazy, seznam emailůVlastnosti Session, Cookies, formulářů
Zranitelnosti SQL InjectionZpůsobeno nedostatečnou validací vstupů Umožňuje získat data z databáze nebo obejít přístupová práva aplikace
Zranitelnosti XSS Cross-site scripting Způsobeno nedostatečnou validací vstupůUmožňují podvrhnout část obsahu webu
Další zranitelnostiStránky generující chybová hlášeníSoubory, adresáře, výpisy adresářů
RAC QualysGuard InfoDay 2012
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2012 5
Možnost využití Využití výsledků scanování, import do kataloguVytváření katalogu všech web aplikací (http, https, další porty)Schvalovací proces, obdoba jako u mapování
Funkce pro katalogizaci web aplikací
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Průvodce pro konfiguraci
RAC QualysGuard InfoDay 2012 6
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Průvodce pro autentizaci
RAC QualysGuard InfoDay 2011 7
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 8
Formulářové přihlašováníPoužívá většina webů Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různéPři přihlašování použity často další skryté parametry, např. cookiesNení úplně triviální zjistit typ autentizace
Formulářové přihlašování - popis
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Autentizace - podpora pro selenium IDE
RAC QualysGuard InfoDay 2011 9
Formulářové přihlašováníUsnadňuje autentizaci Od verze WAS 2.1
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Autentizace - podpora pro client certifikáty
RAC QualysGuard InfoDay 2012 10
Formulářové přihlašováníOd verze WAS 2.1Usnadňuje autentizaci u specifických webů
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Crawling
RAC QualysGuard InfoDay 2012 11
Přesná specifikace cíle testováníWhite list, Black List, Explicit URL, POST Data Black List Od verze WAS 2.3 – podpora selenium IDE pro definici přístupu
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Dynamické tagování
RAC QualysGuard InfoDay 2012 12
Novinka ve specifikace aktiv Bude postupně zavedena ve všech modulech (VM, PC)Nahradí ne příliš pružné rozdělení aktiv do Assets group
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Discovery scan
RAC QualysGuard InfoDay 2012 13
Nevyhledává zranitelnostiPouze prochází strukturuV reportu „modré“ informace , slouží hlavně k ladění
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Interaktivní reporty
RAC QualysGuard InfoDay 2012 14
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0Reporty
RAC QualysGuard InfoDay 2012 15
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2012 16
WAS 2.0 2011New UI, WSDL Fuzzing, XHR Security Origin
WAS 2.1 Nov 17 2011Selenium Authentication, Client Certificates, Additional Links (static pages), “API Framework“
WAS 2.2 Jan 2012New HTML5 detections (engine), API Useable, XHR Testing, Report Enhancements
WAS 2.3 Apr 2012Selenium input and Improved Web Application setting (crawling) , New Enumeration, UI Facelift, Finalized API, More Detections
WAS – souhrn změn