Security & penetration. Let’s start

Svetlana Yakovleva

04/24/2014

1

Agenda• В каких случаях необходима проверка на уязвимости и

безопасность

• Методы проверок

• OWASP классификация хакерских атак и уязвимостей ПО и как их избежать

• Обзор инструментов тестирования

• Примеры уязвимостей «из жизни»

2

Когда необходимо проверить?• Банковский, страховой софт

• Личные данные (медицина, семейное положение, и тп)

• Соц.сети

• Инновационные проекты

• Государственная тайна

• Коммерческая тайна

• Продолжите список

3

Как проверять?По ресурсам:

1. Внутренняя проверка –вручную, инструментами, автотестами

2. Привлеченные специалисты

По обьему:

1. В зависимости от нужд клиента

2. В зависимости от специфики приложения

3. Атаки

4. Уязвимости

4

QWASP классификация

• A1 Injection (Инъекции, к примеру SQL, CSS, JS)• A2 Cross Site Scripting (XSS межсайтовый скриптинг)• A3 Broken Authentication and Session Management (ошибки

аутентификации)• A4 Insecure Direct Object References (незащищенные ресурсы и

объекты)• A5 Cross Site Request Forgery (CSRF подделка межсайтовых запросов)• A6 Security Misconfiguration (небезопасная конфигурация

окружения)• A7 Failure to Restrict URL Access (несанкционированный доступ)• A8 Unvalidated Redirects and Forwards (открытый редирект)• A9 Insecure Cryptographic Storage (небезопасное хранение данных)• A10 Insufficient Transport Layer Protection (недостаточная защита

данных при их передаче)

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 5

Чем проверять?

• Плагины – InjectME

• Инструменты – WebScarab

• Здравый смысл и воображение

6

Контакты

Мне можно написать

svetlanaw@gmail.com

Или написать

Skype: svetayakovleva

7