SlideShare ist ein Scribd-Unternehmen logo

Automatizando análise passiva aplicações Web

Conviso Application Security
Conviso Application Security

Apresentação realizada no OWASP AppSec Latam em Porto Alegre - Brazil

Technologie
1 von 15
Automatizando a análise passiva de aplicações Web Wagner Elias, CTO Conviso Application Security OWASP AppSec Latam Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
Por que automatizar?  Nivelar Conhecimento da equipe de testes  Garantir o mínimo de cobertura em testes manuais OWASP
Análise Passiva  O Testador irá navegar na aplicação, entender o contexto das requisições  Quando realizado por um profissional com expertise em testes é mais efetiva que uma análise ativa OWASP
Desafios  Uma aplicação gera um número grande de requisições o que torna o processo lento e custoso  A qualidade da análise depende completamente do skill do testador OWASP
Muitos Mbs de dados NOT OWASP
Proposta  Automatizar parte do processo de análise através do parser de log do proxy  Extrair informações que o testador deve analisar, aumentando a cobertura da análise OWASP
WebFight  Realiza o parser do log do Burp  Análisa todo o cabeçalho HTTP e conteúdo das respostas extraindo informações para análise http://code.google.com/p/webfight/ OWASP
Fluxo da Análise Carrega os Log do Parser do Triagem das Módulos de Burp Log Requisições Análise Módulos de Análise Gera o relatório JS DOM Flash Session na interface de análise Finger cache JSON Etc… print OWASP
Command Line Rules Log do Burp Escopo Workspace OWASP
Principais Análises  Apresenta todas as requests que precisam passar por testes fuzzing  Filtro em funções potencialmente vulneráveis em JS  Identifica, realiza o download, decompila e apresenta o AS de arquivos SWF filtrando funções potencialmente vulneráveis  Filtro de objetos DOM  Possibilidade de criação customizada de filtros que ajudam a análise através do relatório OWASP
Interface de Análise OWASP
Talk is cheap show me the code DEMO OWASP
Breve no repositório de código  Módulo de Taint Analysis  Módulo de análise de configuração e implementação de SSL/TLS  Melhorias na interface de análise OWASP
Perguntas? OWASP
Obrigado Wagner Elias, CTO Conviso Application Security OWASP

Empfohlen

Ibm app scan
Ibm app scanIbm app scan
Ibm app scanReinaldo Junior
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014Rodrigo Montoro
 
Todo importa en la formación de un comunicador
Todo importa en la formación de un comunicadorTodo importa en la formación de un comunicador
Todo importa en la formación de un comunicadorBruno Ortiz B.
 
Dental --guidelines-on-infection-control
Dental --guidelines-on-infection-controlDental --guidelines-on-infection-control
Dental --guidelines-on-infection-controlRaquel Lopes
 
Charla para periodistas que informan sobre salud y ciencias
Charla para periodistas que informan sobre salud y cienciasCharla para periodistas que informan sobre salud y ciencias
Charla para periodistas que informan sobre salud y cienciasBruno Ortiz B.
 
New resume
New resumeNew resume
New resumeVikas saxena
 
Bicentario festividades de diferentes provincias
Bicentario festividades de diferentes provinciasBicentario festividades de diferentes provincias
Bicentario festividades de diferentes provinciasFranco Malmesi
 

Empfohlen

Ibm app scan
Ibm app scanIbm app scan
Ibm app scanReinaldo Junior
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014Rodrigo Montoro
 
Todo importa en la formación de un comunicador
Todo importa en la formación de un comunicadorTodo importa en la formación de un comunicador
Todo importa en la formación de un comunicadorBruno Ortiz B.
 
Dental --guidelines-on-infection-control
Dental --guidelines-on-infection-controlDental --guidelines-on-infection-control
Dental --guidelines-on-infection-controlRaquel Lopes
 
Charla para periodistas que informan sobre salud y ciencias
Charla para periodistas que informan sobre salud y cienciasCharla para periodistas que informan sobre salud y ciencias
Charla para periodistas que informan sobre salud y cienciasBruno Ortiz B.
 
New resume
New resumeNew resume
New resumeVikas saxena
 
Bicentario festividades de diferentes provincias
Bicentario festividades de diferentes provinciasBicentario festividades de diferentes provincias
Bicentario festividades de diferentes provinciasFranco Malmesi
 
Snigdh Resume
Snigdh ResumeSnigdh Resume
Snigdh ResumeSnigdh Jha
 
Presentacion de la importancia de los valores para una convivencia
Presentacion de la importancia de los valores para una convivenciaPresentacion de la importancia de los valores para una convivencia
Presentacion de la importancia de los valores para una convivenciaDIEGO FERNANDO PINE VARGAS
 
2016 ITRC YTD Data Breach Summary 11082016
2016 ITRC YTD Data Breach Summary 110820162016 ITRC YTD Data Breach Summary 11082016
2016 ITRC YTD Data Breach Summary 11082016CRUZ CERDA
 
PENERAPAN ERGONOMI PADA FHD
PENERAPAN ERGONOMI PADA FHDPENERAPAN ERGONOMI PADA FHD
PENERAPAN ERGONOMI PADA FHDAstri Noviana
 
Infection control in the dental clinic
Infection control in the dental clinicInfection control in the dental clinic
Infection control in the dental clinicMohammed Sa'ad
 
Infection control iyad
Infection control iyadInfection control iyad
Infection control iyadLubna Abu Alrub,DDS
 
Kushal resume
Kushal resumeKushal resume
Kushal resumeG Kushal Kumar
 
Yr 5 unit 13 adverbs of frequency
Yr 5 unit 13 adverbs of frequencyYr 5 unit 13 adverbs of frequency
Yr 5 unit 13 adverbs of frequencyGrace Ng
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Conviso Application Security
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - FerramentasCarlos Serrao
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASPCarlos Serrao
 
Criando Aplicações .NET com o TheWebMind
Criando Aplicações .NET com o TheWebMindCriando Aplicações .NET com o TheWebMind
Criando Aplicações .NET com o TheWebMindJaydson Gomes
 
Tutorial JSF 2.0 (2012)
Tutorial JSF 2.0 (2012)Tutorial JSF 2.0 (2012)
Tutorial JSF 2.0 (2012)Helder da Rocha
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP Brasília
 
Apache e Java
Apache e JavaApache e Java
Apache e JavaGlaucio Scheibel
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
Curso jsf
Curso jsfCurso jsf
Curso jsfjornaljava
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP Brasília
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 
Ferramentas De Auditoria De Wa Apresentacao
Ferramentas De Auditoria De Wa ApresentacaoFerramentas De Auditoria De Wa Apresentacao
Ferramentas De Auditoria De Wa Apresentacaonfteodoro
 

Weitere ähnliche Inhalte

Andere mochten auch

Presentacion de la importancia de los valores para una convivencia
Presentacion de la importancia de los valores para una convivenciaPresentacion de la importancia de los valores para una convivencia
Presentacion de la importancia de los valores para una convivenciaDIEGO FERNANDO PINE VARGAS
 
2016 ITRC YTD Data Breach Summary 11082016
2016 ITRC YTD Data Breach Summary 110820162016 ITRC YTD Data Breach Summary 11082016
2016 ITRC YTD Data Breach Summary 11082016CRUZ CERDA
 
PENERAPAN ERGONOMI PADA FHD
PENERAPAN ERGONOMI PADA FHDPENERAPAN ERGONOMI PADA FHD
PENERAPAN ERGONOMI PADA FHDAstri Noviana
 
Infection control in the dental clinic
Infection control in the dental clinicInfection control in the dental clinic
Infection control in the dental clinicMohammed Sa'ad
 
Yr 5 unit 13 adverbs of frequency
Yr 5 unit 13 adverbs of frequencyYr 5 unit 13 adverbs of frequency
Yr 5 unit 13 adverbs of frequencyGrace Ng
 

Andere mochten auch (8)

Snigdh Resume
Snigdh ResumeSnigdh Resume
Snigdh Resume
 
Presentacion de la importancia de los valores para una convivencia
Presentacion de la importancia de los valores para una convivenciaPresentacion de la importancia de los valores para una convivencia
Presentacion de la importancia de los valores para una convivencia
 
2016 ITRC YTD Data Breach Summary 11082016
2016 ITRC YTD Data Breach Summary 110820162016 ITRC YTD Data Breach Summary 11082016
2016 ITRC YTD Data Breach Summary 11082016
 
PENERAPAN ERGONOMI PADA FHD
PENERAPAN ERGONOMI PADA FHDPENERAPAN ERGONOMI PADA FHD
PENERAPAN ERGONOMI PADA FHD
 
Infection control in the dental clinic
Infection control in the dental clinicInfection control in the dental clinic
Infection control in the dental clinic
 
Infection control iyad
Infection control iyadInfection control iyad
Infection control iyad
 
Kushal resume
Kushal resumeKushal resume
Kushal resume
 
Yr 5 unit 13 adverbs of frequency
Yr 5 unit 13 adverbs of frequencyYr 5 unit 13 adverbs of frequency
Yr 5 unit 13 adverbs of frequency
 

Ähnlich wie Automatizando análise passiva aplicações Web

Criando Aplicações .NET com o TheWebMind
Criando Aplicações .NET com o TheWebMindCriando Aplicações .NET com o TheWebMind
Criando Aplicações .NET com o TheWebMindJaydson Gomes
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP Brasília
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP Brasília
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 
Ferramentas De Auditoria De Wa Apresentacao
Ferramentas De Auditoria De Wa ApresentacaoFerramentas De Auditoria De Wa Apresentacao
Ferramentas De Auditoria De Wa Apresentacaonfteodoro
 
Arquitetura de Software
Arquitetura de SoftwareArquitetura de Software
Arquitetura de SoftwareSaulo Arruda
 
Caipira agil automacao front end selenium
Caipira agil automacao front end seleniumCaipira agil automacao front end selenium
Caipira agil automacao front end seleniumQualister
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 

Ähnlich wie Automatizando análise passiva aplicações Web (20)

Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
Criando Aplicações .NET com o TheWebMind
Criando Aplicações .NET com o TheWebMindCriando Aplicações .NET com o TheWebMind
Criando Aplicações .NET com o TheWebMind
 
Tutorial JSF 2.0 (2012)
Tutorial JSF 2.0 (2012)Tutorial JSF 2.0 (2012)
Tutorial JSF 2.0 (2012)
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHA
 
Apache e Java
Apache e JavaApache e Java
Apache e Java
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Curso jsf
Curso jsfCurso jsf
Curso jsf
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidades
 
Ferramentas De Auditoria De Wa Apresentacao
Ferramentas De Auditoria De Wa ApresentacaoFerramentas De Auditoria De Wa Apresentacao
Ferramentas De Auditoria De Wa Apresentacao
 
Arquitetura de Software
Arquitetura de SoftwareArquitetura de Software
Arquitetura de Software
 
Caipira agil automacao front end selenium
Caipira agil automacao front end seleniumCaipira agil automacao front end selenium
Caipira agil automacao front end selenium
 
Owasp web app_flaws
Owasp web app_flawsOwasp web app_flaws
Owasp web app_flaws
 
[OFICINA JAVA] - Conhecendo Java
[OFICINA JAVA] - Conhecendo Java[OFICINA JAVA] - Conhecendo Java
[OFICINA JAVA] - Conhecendo Java
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 

Mehr von Conviso Application Security

Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Conviso Application Security
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web HackingConviso Application Security
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashConviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security
 

Mehr von Conviso Application Security (20)

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
 
Threats from economical improvement rss 2010
Threats from economical improvement rss 2010Threats from economical improvement rss 2010
Threats from economical improvement rss 2010
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Abotoaduras & Bonés
Abotoaduras & BonésAbotoaduras & Bonés
Abotoaduras & Bonés
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008
 

Automatizando análise passiva aplicações Web

  • 1. Automatizando a análise passiva de aplicações Web Wagner Elias, CTO Conviso Application Security OWASP AppSec Latam Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  • 2. Por que automatizar?  Nivelar Conhecimento da equipe de testes  Garantir o mínimo de cobertura em testes manuais OWASP
  • 3. Análise Passiva  O Testador irá navegar na aplicação, entender o contexto das requisições  Quando realizado por um profissional com expertise em testes é mais efetiva que uma análise ativa OWASP
  • 4. Desafios  Uma aplicação gera um número grande de requisições o que torna o processo lento e custoso  A qualidade da análise depende completamente do skill do testador OWASP
  • 5. Muitos Mbs de dados NOT OWASP
  • 6. Proposta  Automatizar parte do processo de análise através do parser de log do proxy  Extrair informações que o testador deve analisar, aumentando a cobertura da análise OWASP
  • 7. WebFight  Realiza o parser do log do Burp  Análisa todo o cabeçalho HTTP e conteúdo das respostas extraindo informações para análise http://code.google.com/p/webfight/ OWASP
  • 8. Fluxo da Análise Carrega os Log do Parser do Triagem das Módulos de Burp Log Requisições Análise Módulos de Análise Gera o relatório JS DOM Flash Session na interface de análise Finger cache JSON Etc… print OWASP
  • 9. Command Line Rules Log do Burp Escopo Workspace OWASP
  • 10. Principais Análises  Apresenta todas as requests que precisam passar por testes fuzzing  Filtro em funções potencialmente vulneráveis em JS  Identifica, realiza o download, decompila e apresenta o AS de arquivos SWF filtrando funções potencialmente vulneráveis  Filtro de objetos DOM  Possibilidade de criação customizada de filtros que ajudam a análise através do relatório OWASP
  • 12. Talk is cheap show me the code DEMO OWASP
  • 13. Breve no repositório de código  Módulo de Taint Analysis  Módulo de análise de configuração e implementação de SSL/TLS  Melhorias na interface de análise OWASP
  • 14. Perguntas? OWASP
  • 15. Obrigado Wagner Elias, CTO Conviso Application Security OWASP