SlideShare ist ein Scribd-Unternehmen logo

Обеспечение безопасности web приложений

SQALab
SQALab

Дмитрий Лапыгин, IBM, Москва, Россия

Technologie
1 von 28
Downloaden Sie, um offline zu lesen
® IBM Software Group Обеспечение безопасности web приложений Дмитрий Лапыгин технический специалист по продуктам IBM Rational, IBM EE/A email: dmitry_lapygin@ru.ibm.com © 2008 IBM Corporation
IBM Software Group | Rational software Содержание •Проблемы в области тестирования веб-приложений •Обзор самых распространенных атак •Последовательность работы AppScan •Возможности инструмента
IBM Software Group | Rational software Последние случаи атак quot;Аэрофлотquot; прекратил он-лайн продажи авиабилетов из-за хакерской атаки ОАО quot;Аэрофлот - российские авиалинииquot; не принимает к оплате через сайт банковские карты всех банков из-за хакерской атаки. 26 октября 2008 Cпециалисты занимаются решением данной проблемы и в течение 1-2 дней покупка билетов при помощи банковских карт через сайт будет доступна. Неизвестные хакеры 7 февраля воспользовались уязвимостью на американском сайте quot;Лаборатории Касперскогоquot; и опубликовали список таблиц баз данных 7 февраля 2009 ресурса, якобы содержащих информацию о пользователях, кодах активации, найденных в продуктах ошибках, а также интернет-магазине. РИА Новости. Официальный сайт одной из крупнейших российских ежедневных общественно-политических газет - quot;Коммерсантаquot; - уже несколько дней подвергается хакерским 16 марта 2009 атакам, сообщил РИА Новости в понедельник источник в издании. Сайт газеты в течение нескольких дней недоступен для просмотра с внешних источников.
IBM Software Group | Rational software Высокоуровневая архитектура веб- приложения Здесь Здесь хранятся установлено важные приложение данные Internet Internet Firewall Клиент (Browser) Базы данных SSL App Server (Presentation) (Бизнес логика) Защищенный транспорт Защищенная сеть Уровень данных Middle Tier
IBM Software Group | Rational software Безопасность приложений Ландшафт информационной безопасности Rational AppScan Клиентские Транспорт Сеть Веб-приложения станции Антивирусная Шифрование Брандмауэры / защита (SSL) Продвинутые роутеры Сервера Внутренний Firewall приложений сервер Базы Веб сервера данных
IBM Software Group | Rational software Миф: “Наш веб-сайт неуязвим” Мы используем Мы используем брандмауэры брандмауэры Мы проверяем его раз в Мы проверяем его раз в (firewall) (firewall) квартал ручным квартал ручным тестированием тестированием Мы используем сканеры Мы используем сканеры сетевой уязвимости сетевой уязвимости
IBM Software Group | Rational software Реальность: Безопасность и затраты Безопасность Затраты % of Attacks %$ Веб- 10% приложения 75% 90% Сервера 25% 75% всех атак приходится на уровень веб- приложений 2/3 всех веб-приложений уязвимы Sources: Gartner, Watchfire
IBM Software Group | Rational software Тестирование безопасности в рамках жизненного цикла разработки Жизненный цикл Разработка Сборка QA Безопасность Операции Позвольте специалистам по Разработчики Безопасности эффективно доносить необходимые исправления разработчикам Разработчики Убедитесь, что уязвимости исправлены перед Обеспечение Разработчиков и установкой Разработчики Тестировщиков экспертизой по приложений в обнаружению и испралению промышленное уязвимостей использование
IBM Software Group | Rational software •Проблемы в области тестирования веб-приложений •Обзор самых распространенных атак •Последовательность работы AppScan •Возможности инструмента
IBM Software Group | Rational software XSS процесс Evil.org 5) Evil.org использует украденную 1) Ссылка на bank.com информацию по сессии пользователя посылается пользователю для авторизации на сайте E-mail или HTTP 4) Скрипт посылает пользовательскую информацию без уведомления пользователя Пользователь bank.com 2) Пользователь посылает скрипт встроенный как данные 3) Скрипт/данные возвращаются выполненные браузером
IBM Software Group | Rational software Использование XSS Если Вы запустите мой JavaScript, Я могу… Украсть информацию (cookies) для веб-домена, который вы просматриваете Отслеживать все ваши действия в браузере с момента запуска скрипта Переправлять Вас на мой мошеннический сайт Полностью модифицировать содержание страниц, которые вы просматриваете в этом домене … XSS это наиболее используемая уязвимость сегодня
IBM Software Group | Rational software SQL-инъекции Всавка SQL команд в данные, вводимые пользователем: Получить данные о продукте по id: Select * from products where id=‘$REQUEST[“id”]’; Взлом: послать параметер id со значением ‘ or ‘1’=‘1 В результате будет выполнен SQL запрос: Select * from products where id=‘’ or ‘1’=‘1’ Все продукты будут выбраны
IBM Software Group | Rational software •Проблемы в области тестирования веб-приложений •Обзор самых распространенных атак •Последовательность работы AppScan •Возможности инструмента
IBM Software Group | Rational software Как работает Rational AppScan • Подход к приложению как к “черному ящику” • Обследование веб приложения и построение модели сайта • Определить векторы атак основываясь на выбранной политике тестирования • Тестирование посредством посылки модифицированных HTTP запросов приложению и проверка HTTP ответов в соответствии с правилами проверки Веб приложение HTTP Запрос Приложение База данных Веб HTTP Ответ Сервер
IBM Software Group | Rational software Проверяемые уровни безопасности Rational AppScan Web Services Web Applications Third-party Components Web Server Configuration Web Server Database ISS Applications Operating System Network
IBM Software Group | Rational software Последовательность работы AppScan 1. Выбрать шаблон сканирования 2. Конфигурация быстрого сканирования (мастер) а) Ввести стартовый URL б) Выполнить ручной вход в) (Опционально) Обзор тестовых политик 3. Запустить Scan Expert 4. Обзор предложенных изменений конфигурации и применить выборочно 5. Запустить автоматическое сканирование (Automatic Scan) 6. Проверить результаты и (если потребуется) а) Обследовать дополнительные ссылки вручную б) Распечатать отчеты в) Обзор задач по исправлению
IBM Software Group | Rational software •Проблемы в области тестирования веб-приложений •Обзор самых распространенных атак •Последовательность работы AppScan •Возможности инструмента
IBM Software Group | Rational software Возможности Rational AppScan • Автоматизированное сканирование и тестирование web-приложений на типовые уязвимости • Сканирование широкого спектра web-приложений, включая сервисы, Security Privacy Quality выполнение и разбор Java-Script • Мощные средства исправления Standards Compliance 1 2 3 уязвимостей, включая список Scan Scan Analyze Analyze Report Report Detailed, Actionable действий для закрытия Detailed, Actionable Information Information обнаруженных уязвимостей • Интеграция со средствами тестирования, совместное расписание и отчетность Web-приложения – • Более 40 готовых отчетов на основная цель атак! соответствие требованиям безопасности
IBM Software Group | Rational software Фаза обследования Построение дерева приложения Количество выполненных/ сгенерированных тестов
IBM Software Group | Rational software Фаза обследования – советы по оптимизации сканирования Советы по оптимизации сканирования
IBM Software Group | Rational software Фаза тестирования Найденные уязвимости
IBM Software Group | Rational software Информация об уязвимостях Описание уязвимости Обучающее видео, описывающее уязвимость
IBM Software Group | Rational software Рекомендации по устранению
IBM Software Group | Rational software Тестовые HTTP запросответ Изменение к обычному запросу
IBM Software Group | Rational software Задачи по устранению уязвимостей Интеграция с ClearQuest для трекинга дефектов
IBM Software Group | Rational software Генерация отчетов
IBM Software Group | Rational software Полезные ссылки Видео презентация http://www.ibm.com/developerworks/ru/events/appscan_video/register.html Здесь можно скачать пробную версию Rational AppScan http://www.ibm.com/developerworks/downloads/r/appscan/standarded.html? S_TACT=105AGX28&S_CMP=DLMAIN Форум http://www.ibm.com/developerworks/forums/forum.jspa?forumID=1320
IBM Software Group | Rational software Дополнительная информация: • IBM Rational software • Architecture management • IBM Rational Software Delivery Platform • Rational trial downloads • Process and portfolio management • Leading Innovation Website • Change and release management • IBM Rational TV • Quality management • IBM Rational Business Partners © Copyright IBM Corporation 2007. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, the on-demand business logo, Rational, the Rational logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

Empfohlen

Jazz – открытая платформа разработки ПО
Jazz – открытая платформа разработки ПОJazz – открытая платформа разработки ПО
Jazz – открытая платформа разработки ПО
SQALab
 
vSphere Launch Business Keynote - Москва, 26 мая
vSphere Launch Business Keynote - Москва, 26 маяvSphere Launch Business Keynote - Москва, 26 мая
vSphere Launch Business Keynote - Москва, 26 мая
Anton Antich
 
IP в телевидении или телевидение в IP?
IP в телевидении или телевидение в IP?IP в телевидении или телевидение в IP?
IP в телевидении или телевидение в IP?
2tique
 
Customer Profiling&Targeted Advertisement
Customer Profiling&Targeted AdvertisementCustomer Profiling&Targeted Advertisement
Customer Profiling&Targeted Advertisement
2tique
 
IBM Jazz - A New Approach For Software Development (In Russian)
IBM Jazz - A New Approach For Software Development (In Russian)IBM Jazz - A New Approach For Software Development (In Russian)
IBM Jazz - A New Approach For Software Development (In Russian)
Alexander Klimov
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Aleksey Lukatskiy
 
Minsk Jazz 190509 Templ
Minsk Jazz 190509 TemplMinsk Jazz 190509 Templ
Minsk Jazz 190509 Templ
sef2009
 
тупицын Ec2 Rootconf2009
тупицын Ec2 Rootconf2009тупицын Ec2 Rootconf2009
тупицын Ec2 Rootconf2009
Liudmila Li
 

Empfohlen

Jazz – открытая платформа разработки ПО
Jazz – открытая платформа разработки ПОJazz – открытая платформа разработки ПО
Jazz – открытая платформа разработки ПО
SQALab
 
vSphere Launch Business Keynote - Москва, 26 мая
vSphere Launch Business Keynote - Москва, 26 маяvSphere Launch Business Keynote - Москва, 26 мая
vSphere Launch Business Keynote - Москва, 26 мая
Anton Antich
 
IP в телевидении или телевидение в IP?
IP в телевидении или телевидение в IP?IP в телевидении или телевидение в IP?
IP в телевидении или телевидение в IP?
2tique
 
Customer Profiling&Targeted Advertisement
Customer Profiling&Targeted AdvertisementCustomer Profiling&Targeted Advertisement
Customer Profiling&Targeted Advertisement
2tique
 
IBM Jazz - A New Approach For Software Development (In Russian)
IBM Jazz - A New Approach For Software Development (In Russian)IBM Jazz - A New Approach For Software Development (In Russian)
IBM Jazz - A New Approach For Software Development (In Russian)
Alexander Klimov
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Aleksey Lukatskiy
 
Minsk Jazz 190509 Templ
Minsk Jazz 190509 TemplMinsk Jazz 190509 Templ
Minsk Jazz 190509 Templ
sef2009
 
тупицын Ec2 Rootconf2009
тупицын Ec2 Rootconf2009тупицын Ec2 Rootconf2009
тупицын Ec2 Rootconf2009
Liudmila Li
 
Что маркетологи должны знать о дизайн-исследованиях
Что маркетологи должны знать о дизайн-исследованияхЧто маркетологи должны знать о дизайн-исследованиях
Что маркетологи должны знать о дизайн-исследованиях
Lumiknows Consultancy
 
Intro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin NakovIntro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin Nakov
Svetlin Nakov
 
Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520
beewolf
 
Scrum And Business
Scrum And BusinessScrum And Business
Scrum And Business
Alexey Krivitsky
 
Kiev Tesla Day
Kiev Tesla DayKiev Tesla Day
Kiev Tesla Day
it.times.com.ua
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
Turkmenistan Laws
 
Social Media and Cloud Computing
Social Media and Cloud ComputingSocial Media and Cloud Computing
Social Media and Cloud Computing
SSA KPI
 
Social Bookmarks, Folksonomies–Complex Networks
Social Bookmarks, Folksonomies–Complex NetworksSocial Bookmarks, Folksonomies–Complex Networks
Social Bookmarks, Folksonomies–Complex Networks
Oleg Nazarevych
 
Background Examples From Eu Ru
Background Examples From Eu RuBackground Examples From Eu Ru
Background Examples From Eu Ru
Victor Gridnev
 
20070613 Rit2007 Training
20070613 Rit2007 Training20070613 Rit2007 Training
20070613 Rit2007 Training
Nikolay Samokhvalov
 
Postgre Sql 8 4
Postgre Sql 8 4Postgre Sql 8 4
Postgre Sql 8 4
Liudmila Li
 
技術トレンディセミナー サルでも分かるAndroidに見るGoogleの戦略
技術トレンディセミナー サルでも分かるAndroidに見るGoogleの戦略技術トレンディセミナー サルでも分かるAndroidに見るGoogleの戦略
技術トレンディセミナー サルでも分かるAndroidに見るGoogleの戦略
terada
 
Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009
Tatsuo Kudo
 
ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.
Matweika
 
Security for Business Impact Analysis
Security for Business Impact AnalysisSecurity for Business Impact Analysis
Security for Business Impact Analysis
Aleksey Lukatskiy
 
OnlineSEM.ru - Google Russia Stanislav Vidyayev
OnlineSEM.ru - Google Russia Stanislav VidyayevOnlineSEM.ru - Google Russia Stanislav Vidyayev
OnlineSEM.ru - Google Russia Stanislav Vidyayev
GooVape
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1961
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1961俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1961
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1961
Armenia Laws
 
Hasql in practice (Russian)
Hasql in practice (Russian)Hasql in practice (Russian)
Hasql in practice (Russian)
Alexander Vershilov
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
Turkmenistan Laws
 
XS Japan 2008 Citrix Japanese
XS Japan 2008 Citrix JapaneseXS Japan 2008 Citrix Japanese
XS Japan 2008 Citrix Japanese
The Linux Foundation
 
Управление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспектыУправление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспекты
Aleksey Lukatskiy
 
Delivery of media content of IIS Media Services
Delivery of media content of IIS Media ServicesDelivery of media content of IIS Media Services
Delivery of media content of IIS Media Services
SQALab
 

Weitere ähnliche Inhalte

Was ist angesagt?

Intro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin NakovIntro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin Nakov
Svetlin Nakov
 
Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520
beewolf
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
Turkmenistan Laws
 
技術トレンディセミナー サルでも分かるAndroidに見るGoogleの戦略
技術トレンディセミナー サルでも分かるAndroidに見るGoogleの戦略技術トレンディセミナー サルでも分かるAndroidに見るGoogleの戦略
技術トレンディセミナー サルでも分かるAndroidに見るGoogleの戦略
terada
 
ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.
Matweika
 
Security for Business Impact Analysis
Security for Business Impact AnalysisSecurity for Business Impact Analysis
Security for Business Impact Analysis
Aleksey Lukatskiy
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
Turkmenistan Laws
 

Was ist angesagt? (20)

Что маркетологи должны знать о дизайн-исследованиях
Что маркетологи должны знать о дизайн-исследованияхЧто маркетологи должны знать о дизайн-исследованиях
Что маркетологи должны знать о дизайн-исследованиях
 
Intro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin NakovIntro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin Nakov
 
Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520
 
Scrum And Business
Scrum And BusinessScrum And Business
Scrum And Business
 
Kiev Tesla Day
Kiev Tesla DayKiev Tesla Day
Kiev Tesla Day
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
 
Social Media and Cloud Computing
Social Media and Cloud ComputingSocial Media and Cloud Computing
Social Media and Cloud Computing
 
Social Bookmarks, Folksonomies–Complex Networks
Social Bookmarks, Folksonomies–Complex NetworksSocial Bookmarks, Folksonomies–Complex Networks
Social Bookmarks, Folksonomies–Complex Networks
 
Background Examples From Eu Ru
Background Examples From Eu RuBackground Examples From Eu Ru
Background Examples From Eu Ru
 
20070613 Rit2007 Training
20070613 Rit2007 Training20070613 Rit2007 Training
20070613 Rit2007 Training
 
Postgre Sql 8 4
Postgre Sql 8 4Postgre Sql 8 4
Postgre Sql 8 4
 
技術トレンディセミナー サルでも分かるAndroidに見るGoogleの戦略
技術トレンディセミナー サルでも分かるAndroidに見るGoogleの戦略技術トレンディセミナー サルでも分かるAndroidに見るGoogleの戦略
技術トレンディセミナー サルでも分かるAndroidに見るGoogleの戦略
 
Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009
 
ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.
 
Security for Business Impact Analysis
Security for Business Impact AnalysisSecurity for Business Impact Analysis
Security for Business Impact Analysis
 
OnlineSEM.ru - Google Russia Stanislav Vidyayev
OnlineSEM.ru - Google Russia Stanislav VidyayevOnlineSEM.ru - Google Russia Stanislav Vidyayev
OnlineSEM.ru - Google Russia Stanislav Vidyayev
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1961
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1961俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1961
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1961
 
Hasql in practice (Russian)
Hasql in practice (Russian)Hasql in practice (Russian)
Hasql in practice (Russian)
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
 
XS Japan 2008 Citrix Japanese
XS Japan 2008 Citrix JapaneseXS Japan 2008 Citrix Japanese
XS Japan 2008 Citrix Japanese
 

Ähnlich wie Обеспечение безопасности web приложений

Управление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспектыУправление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспекты
Aleksey Lukatskiy
 
Java For Digitally Signing Documents In Web Book - Svetlin Nakov
Java For Digitally Signing Documents In Web Book - Svetlin NakovJava For Digitally Signing Documents In Web Book - Svetlin Nakov
Java For Digitally Signing Documents In Web Book - Svetlin Nakov
Svetlin Nakov
 
Cisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержкиCisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержки
guest813d253
 
норма санпин
норма санпиннорма санпин
норма санпин
helen-66
 
норма санпин
норма санпиннорма санпин
норма санпин
helen-66
 
11 Net Scaler Xa1
11 Net Scaler Xa111 Net Scaler Xa1
11 Net Scaler Xa1
Liudmila Li
 
01 Sk Cvc 2009 Key Note St P
01 Sk Cvc 2009 Key Note St P01 Sk Cvc 2009 Key Note St P
01 Sk Cvc 2009 Key Note St P
Liudmila Li
 

Ähnlich wie Обеспечение безопасности web приложений (20)

Управление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспектыУправление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспекты
 
Delivery of media content of IIS Media Services
Delivery of media content of IIS Media ServicesDelivery of media content of IIS Media Services
Delivery of media content of IIS Media Services
 
Readme bg
Readme bgReadme bg
Readme bg
 
Bynet2.3 Microsoft. Mediacontent delivery using IIS7 and Silverlight3
Bynet2.3 Microsoft. Mediacontent delivery using IIS7 and Silverlight3Bynet2.3 Microsoft. Mediacontent delivery using IIS7 and Silverlight3
Bynet2.3 Microsoft. Mediacontent delivery using IIS7 and Silverlight3
 
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanieCisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
 
Cisco Security and Crisis
Cisco Security and CrisisCisco Security and Crisis
Cisco Security and Crisis
 
Java For Digitally Signing Documents In Web Book - Svetlin Nakov
Java For Digitally Signing Documents In Web Book - Svetlin NakovJava For Digitally Signing Documents In Web Book - Svetlin Nakov
Java For Digitally Signing Documents In Web Book - Svetlin Nakov
 
Cisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержкиCisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержки
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
kakvo e sniffer
kakvo e snifferkakvo e sniffer
kakvo e sniffer
 
Что такое ASP.NET MVC?
Что такое ASP.NET MVC?Что такое ASP.NET MVC?
Что такое ASP.NET MVC?
 
норма санпин
норма санпиннорма санпин
норма санпин
 
норма санпин
норма санпиннорма санпин
норма санпин
 
11 Net Scaler Xa1
11 Net Scaler Xa111 Net Scaler Xa1
11 Net Scaler Xa1
 
Grape Online Strategy Cases
Grape Online Strategy CasesGrape Online Strategy Cases
Grape Online Strategy Cases
 
за Ruby
за Rubyза Ruby
за Ruby
 
Дизайн посуды: Тенденции и образ жизни.
Дизайн посуды: Тенденции и образ жизни.Дизайн посуды: Тенденции и образ жизни.
Дизайн посуды: Тенденции и образ жизни.
 
Как построить лучший корпоративный Университет (по версии CUX). Опыт и рекоме...
Как построить лучший корпоративный Университет (по версии CUX). Опыт и рекоме...Как построить лучший корпоративный Университет (по версии CUX). Опыт и рекоме...
Как построить лучший корпоративный Университет (по версии CUX). Опыт и рекоме...
 
Аналитика мобильных приложений - Тинькофф
Аналитика мобильных приложений - ТинькоффАналитика мобильных приложений - Тинькофф
Аналитика мобильных приложений - Тинькофф
 
01 Sk Cvc 2009 Key Note St P
01 Sk Cvc 2009 Key Note St P01 Sk Cvc 2009 Key Note St P
01 Sk Cvc 2009 Key Note St P
 

Mehr von SQALab

Mehr von SQALab (20)

Готовим стажировку
Готовим стажировкуГотовим стажировку
Готовим стажировку
 
Куда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаКуда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщика
 
Оптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиОптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержки
 
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияАвтоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
 
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
 
Continuous performance testing
Continuous performance testingContinuous performance testing
Continuous performance testing
 
Конфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженКонфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нужен
 
Команда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииКоманда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихии
 
API. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовAPI. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советов
 
Добиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовДобиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестов
 
Делаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsДелаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIs
 
Вредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеВредные привычки в тест-менеджменте
Вредные привычки в тест-менеджменте
 
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииМощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеКак hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
 
Стили лидерства и тестирование
Стили лидерства и тестированиеСтили лидерства и тестирование
Стили лидерства и тестирование
 
"Давайте не будем про качество"
"Давайте не будем про качество""Давайте не будем про качество"
"Давайте не будем про качество"
 
Apache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовApache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектов
 
Тестирование геолокационных систем
Тестирование геолокационных системТестирование геолокационных систем
Тестирование геолокационных систем
 
Лидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросЛидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопрос
 
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
 

Kürzlich hochgeladen

Understanding Discord NSFW Servers A Guide for Responsible Users.pdf
Understanding Discord NSFW Servers A Guide for Responsible Users.pdfUnderstanding Discord NSFW Servers A Guide for Responsible Users.pdf
Understanding Discord NSFW Servers A Guide for Responsible Users.pdf
UK Journal
 
From Event to Action: Accelerate Your Decision Making with Real-Time Automation
From Event to Action: Accelerate Your Decision Making with Real-Time AutomationFrom Event to Action: Accelerate Your Decision Making with Real-Time Automation
From Event to Action: Accelerate Your Decision Making with Real-Time Automation
Safe Software
 
Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...
Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...
Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...
Drew Madelung
 
Artificial Intelligence: Facts and Myths
Artificial Intelligence: Facts and MythsArtificial Intelligence: Facts and Myths
Artificial Intelligence: Facts and Myths
Joaquim Jorge
 
Mastering MySQL Database Architecture: Deep Dive into MySQL Shell and MySQL R...
Mastering MySQL Database Architecture: Deep Dive into MySQL Shell and MySQL R...Mastering MySQL Database Architecture: Deep Dive into MySQL Shell and MySQL R...
Mastering MySQL Database Architecture: Deep Dive into MySQL Shell and MySQL R...
Miguel Araújo
 
TrustArc Webinar - Unlock the Power of AI-Driven Data Discovery
TrustArc Webinar - Unlock the Power of AI-Driven Data DiscoveryTrustArc Webinar - Unlock the Power of AI-Driven Data Discovery
TrustArc Webinar - Unlock the Power of AI-Driven Data Discovery
TrustArc
 

Kürzlich hochgeladen (20)

Tech Trends Report 2024 Future Today Institute.pdf
Tech Trends Report 2024 Future Today Institute.pdfTech Trends Report 2024 Future Today Institute.pdf
Tech Trends Report 2024 Future Today Institute.pdf
 
Understanding Discord NSFW Servers A Guide for Responsible Users.pdf
Understanding Discord NSFW Servers A Guide for Responsible Users.pdfUnderstanding Discord NSFW Servers A Guide for Responsible Users.pdf
Understanding Discord NSFW Servers A Guide for Responsible Users.pdf
 
Data Cloud, More than a CDP by Matt Robison
Data Cloud, More than a CDP by Matt RobisonData Cloud, More than a CDP by Matt Robison
Data Cloud, More than a CDP by Matt Robison
 
GenAI Risks & Security Meetup 01052024.pdf
GenAI Risks & Security Meetup 01052024.pdfGenAI Risks & Security Meetup 01052024.pdf
GenAI Risks & Security Meetup 01052024.pdf
 
Exploring the Future Potential of AI-Enabled Smartphone Processors
Exploring the Future Potential of AI-Enabled Smartphone ProcessorsExploring the Future Potential of AI-Enabled Smartphone Processors
Exploring the Future Potential of AI-Enabled Smartphone Processors
 
From Event to Action: Accelerate Your Decision Making with Real-Time Automation
From Event to Action: Accelerate Your Decision Making with Real-Time AutomationFrom Event to Action: Accelerate Your Decision Making with Real-Time Automation
From Event to Action: Accelerate Your Decision Making with Real-Time Automation
 
Boost Fertility New Invention Ups Success Rates.pdf
Boost Fertility New Invention Ups Success Rates.pdfBoost Fertility New Invention Ups Success Rates.pdf
Boost Fertility New Invention Ups Success Rates.pdf
 
Real Time Object Detection Using Open CV
Real Time Object Detection Using Open CVReal Time Object Detection Using Open CV
Real Time Object Detection Using Open CV
 
Handwritten Text Recognition for manuscripts and early printed texts
Handwritten Text Recognition for manuscripts and early printed textsHandwritten Text Recognition for manuscripts and early printed texts
Handwritten Text Recognition for manuscripts and early printed texts
 
04-2024-HHUG-Sales-and-Marketing-Alignment.pptx
04-2024-HHUG-Sales-and-Marketing-Alignment.pptx04-2024-HHUG-Sales-and-Marketing-Alignment.pptx
04-2024-HHUG-Sales-and-Marketing-Alignment.pptx
 
Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...
Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...
Strategies for Unlocking Knowledge Management in Microsoft 365 in the Copilot...
 
[2024]Digital Global Overview Report 2024 Meltwater.pdf
[2024]Digital Global Overview Report 2024 Meltwater.pdf[2024]Digital Global Overview Report 2024 Meltwater.pdf
[2024]Digital Global Overview Report 2024 Meltwater.pdf
 
Artificial Intelligence: Facts and Myths
Artificial Intelligence: Facts and MythsArtificial Intelligence: Facts and Myths
Artificial Intelligence: Facts and Myths
 
Mastering MySQL Database Architecture: Deep Dive into MySQL Shell and MySQL R...
Mastering MySQL Database Architecture: Deep Dive into MySQL Shell and MySQL R...Mastering MySQL Database Architecture: Deep Dive into MySQL Shell and MySQL R...
Mastering MySQL Database Architecture: Deep Dive into MySQL Shell and MySQL R...
 
Automating Google Workspace (GWS) & more with Apps Script
Automating Google Workspace (GWS) & more with Apps ScriptAutomating Google Workspace (GWS) & more with Apps Script
Automating Google Workspace (GWS) & more with Apps Script
 
Partners Life - Insurer Innovation Award 2024
Partners Life - Insurer Innovation Award 2024Partners Life - Insurer Innovation Award 2024
Partners Life - Insurer Innovation Award 2024
 
presentation ICT roal in 21st century education
presentation ICT roal in 21st century educationpresentation ICT roal in 21st century education
presentation ICT roal in 21st century education
 
TrustArc Webinar - Unlock the Power of AI-Driven Data Discovery
TrustArc Webinar - Unlock the Power of AI-Driven Data DiscoveryTrustArc Webinar - Unlock the Power of AI-Driven Data Discovery
TrustArc Webinar - Unlock the Power of AI-Driven Data Discovery
 
Strategies for Landing an Oracle DBA Job as a Fresher
Strategies for Landing an Oracle DBA Job as a FresherStrategies for Landing an Oracle DBA Job as a Fresher
Strategies for Landing an Oracle DBA Job as a Fresher
 
The 7 Things I Know About Cyber Security After 25 Years | April 2024
The 7 Things I Know About Cyber Security After 25 Years | April 2024The 7 Things I Know About Cyber Security After 25 Years | April 2024
The 7 Things I Know About Cyber Security After 25 Years | April 2024
 

Обеспечение безопасности web приложений

  • 1. ® IBM Software Group Обеспечение безопасности web приложений Дмитрий Лапыгин технический специалист по продуктам IBM Rational, IBM EE/A email: dmitry_lapygin@ru.ibm.com © 2008 IBM Corporation
  • 2. IBM Software Group | Rational software Содержание •Проблемы в области тестирования веб-приложений •Обзор самых распространенных атак •Последовательность работы AppScan •Возможности инструмента
  • 3. IBM Software Group | Rational software Последние случаи атак quot;Аэрофлотquot; прекратил он-лайн продажи авиабилетов из-за хакерской атаки ОАО quot;Аэрофлот - российские авиалинииquot; не принимает к оплате через сайт банковские карты всех банков из-за хакерской атаки. 26 октября 2008 Cпециалисты занимаются решением данной проблемы и в течение 1-2 дней покупка билетов при помощи банковских карт через сайт будет доступна. Неизвестные хакеры 7 февраля воспользовались уязвимостью на американском сайте quot;Лаборатории Касперскогоquot; и опубликовали список таблиц баз данных 7 февраля 2009 ресурса, якобы содержащих информацию о пользователях, кодах активации, найденных в продуктах ошибках, а также интернет-магазине. РИА Новости. Официальный сайт одной из крупнейших российских ежедневных общественно-политических газет - quot;Коммерсантаquot; - уже несколько дней подвергается хакерским 16 марта 2009 атакам, сообщил РИА Новости в понедельник источник в издании. Сайт газеты в течение нескольких дней недоступен для просмотра с внешних источников.
  • 4. IBM Software Group | Rational software Высокоуровневая архитектура веб- приложения Здесь Здесь хранятся установлено важные приложение данные Internet Internet Firewall Клиент (Browser) Базы данных SSL App Server (Presentation) (Бизнес логика) Защищенный транспорт Защищенная сеть Уровень данных Middle Tier
  • 5. IBM Software Group | Rational software Безопасность приложений Ландшафт информационной безопасности Rational AppScan Клиентские Транспорт Сеть Веб-приложения станции Антивирусная Шифрование Брандмауэры / защита (SSL) Продвинутые роутеры Сервера Внутренний Firewall приложений сервер Базы Веб сервера данных
  • 6. IBM Software Group | Rational software Миф: “Наш веб-сайт неуязвим” Мы используем Мы используем брандмауэры брандмауэры Мы проверяем его раз в Мы проверяем его раз в (firewall) (firewall) квартал ручным квартал ручным тестированием тестированием Мы используем сканеры Мы используем сканеры сетевой уязвимости сетевой уязвимости
  • 7. IBM Software Group | Rational software Реальность: Безопасность и затраты Безопасность Затраты % of Attacks %$ Веб- 10% приложения 75% 90% Сервера 25% 75% всех атак приходится на уровень веб- приложений 2/3 всех веб-приложений уязвимы Sources: Gartner, Watchfire
  • 8. IBM Software Group | Rational software Тестирование безопасности в рамках жизненного цикла разработки Жизненный цикл Разработка Сборка QA Безопасность Операции Позвольте специалистам по Разработчики Безопасности эффективно доносить необходимые исправления разработчикам Разработчики Убедитесь, что уязвимости исправлены перед Обеспечение Разработчиков и установкой Разработчики Тестировщиков экспертизой по приложений в обнаружению и испралению промышленное уязвимостей использование
  • 9. IBM Software Group | Rational software •Проблемы в области тестирования веб-приложений •Обзор самых распространенных атак •Последовательность работы AppScan •Возможности инструмента
  • 10. IBM Software Group | Rational software XSS процесс Evil.org 5) Evil.org использует украденную 1) Ссылка на bank.com информацию по сессии пользователя посылается пользователю для авторизации на сайте E-mail или HTTP 4) Скрипт посылает пользовательскую информацию без уведомления пользователя Пользователь bank.com 2) Пользователь посылает скрипт встроенный как данные 3) Скрипт/данные возвращаются выполненные браузером
  • 11. IBM Software Group | Rational software Использование XSS Если Вы запустите мой JavaScript, Я могу… Украсть информацию (cookies) для веб-домена, который вы просматриваете Отслеживать все ваши действия в браузере с момента запуска скрипта Переправлять Вас на мой мошеннический сайт Полностью модифицировать содержание страниц, которые вы просматриваете в этом домене … XSS это наиболее используемая уязвимость сегодня
  • 12. IBM Software Group | Rational software SQL-инъекции Всавка SQL команд в данные, вводимые пользователем: Получить данные о продукте по id: Select * from products where id=‘$REQUEST[“id”]’; Взлом: послать параметер id со значением ‘ or ‘1’=‘1 В результате будет выполнен SQL запрос: Select * from products where id=‘’ or ‘1’=‘1’ Все продукты будут выбраны
  • 13. IBM Software Group | Rational software •Проблемы в области тестирования веб-приложений •Обзор самых распространенных атак •Последовательность работы AppScan •Возможности инструмента
  • 14. IBM Software Group | Rational software Как работает Rational AppScan • Подход к приложению как к “черному ящику” • Обследование веб приложения и построение модели сайта • Определить векторы атак основываясь на выбранной политике тестирования • Тестирование посредством посылки модифицированных HTTP запросов приложению и проверка HTTP ответов в соответствии с правилами проверки Веб приложение HTTP Запрос Приложение База данных Веб HTTP Ответ Сервер
  • 15. IBM Software Group | Rational software Проверяемые уровни безопасности Rational AppScan Web Services Web Applications Third-party Components Web Server Configuration Web Server Database ISS Applications Operating System Network
  • 16. IBM Software Group | Rational software Последовательность работы AppScan 1. Выбрать шаблон сканирования 2. Конфигурация быстрого сканирования (мастер) а) Ввести стартовый URL б) Выполнить ручной вход в) (Опционально) Обзор тестовых политик 3. Запустить Scan Expert 4. Обзор предложенных изменений конфигурации и применить выборочно 5. Запустить автоматическое сканирование (Automatic Scan) 6. Проверить результаты и (если потребуется) а) Обследовать дополнительные ссылки вручную б) Распечатать отчеты в) Обзор задач по исправлению
  • 17. IBM Software Group | Rational software •Проблемы в области тестирования веб-приложений •Обзор самых распространенных атак •Последовательность работы AppScan •Возможности инструмента
  • 18. IBM Software Group | Rational software Возможности Rational AppScan • Автоматизированное сканирование и тестирование web-приложений на типовые уязвимости • Сканирование широкого спектра web-приложений, включая сервисы, Security Privacy Quality выполнение и разбор Java-Script • Мощные средства исправления Standards Compliance 1 2 3 уязвимостей, включая список Scan Scan Analyze Analyze Report Report Detailed, Actionable действий для закрытия Detailed, Actionable Information Information обнаруженных уязвимостей • Интеграция со средствами тестирования, совместное расписание и отчетность Web-приложения – • Более 40 готовых отчетов на основная цель атак! соответствие требованиям безопасности
  • 19. IBM Software Group | Rational software Фаза обследования Построение дерева приложения Количество выполненных/ сгенерированных тестов
  • 20. IBM Software Group | Rational software Фаза обследования – советы по оптимизации сканирования Советы по оптимизации сканирования
  • 21. IBM Software Group | Rational software Фаза тестирования Найденные уязвимости
  • 22. IBM Software Group | Rational software Информация об уязвимостях Описание уязвимости Обучающее видео, описывающее уязвимость
  • 23. IBM Software Group | Rational software Рекомендации по устранению
  • 24. IBM Software Group | Rational software Тестовые HTTP запросответ Изменение к обычному запросу
  • 25. IBM Software Group | Rational software Задачи по устранению уязвимостей Интеграция с ClearQuest для трекинга дефектов
  • 26. IBM Software Group | Rational software Генерация отчетов
  • 27. IBM Software Group | Rational software Полезные ссылки Видео презентация http://www.ibm.com/developerworks/ru/events/appscan_video/register.html Здесь можно скачать пробную версию Rational AppScan http://www.ibm.com/developerworks/downloads/r/appscan/standarded.html? S_TACT=105AGX28&S_CMP=DLMAIN Форум http://www.ibm.com/developerworks/forums/forum.jspa?forumID=1320
  • 28. IBM Software Group | Rational software Дополнительная информация: • IBM Rational software • Architecture management • IBM Rational Software Delivery Platform • Rational trial downloads • Process and portfolio management • Leading Innovation Website • Change and release management • IBM Rational TV • Quality management • IBM Rational Business Partners © Copyright IBM Corporation 2007. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, the on-demand business logo, Rational, the Rational logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.