2. IBM Software Group | Rational software
Содержание
•Проблемы в области
тестирования веб-приложений
•Обзор самых распространенных
атак
•Последовательность работы
AppScan
•Возможности инструмента
3. IBM Software Group | Rational software
Последние случаи атак
quot;Аэрофлотquot; прекратил он-лайн продажи авиабилетов из-за
хакерской атаки
ОАО quot;Аэрофлот - российские авиалинииquot; не принимает к оплате
через сайт банковские карты всех банков из-за хакерской атаки.
26 октября 2008 Cпециалисты занимаются решением данной проблемы и в
течение 1-2 дней покупка билетов при помощи банковских карт
через сайт будет доступна.
Неизвестные хакеры 7 февраля воспользовались
уязвимостью на американском сайте quot;Лаборатории
Касперскогоquot; и опубликовали список таблиц баз данных
7 февраля 2009 ресурса, якобы содержащих информацию о пользователях,
кодах активации, найденных в продуктах ошибках, а также
интернет-магазине.
РИА Новости. Официальный сайт одной из крупнейших
российских ежедневных общественно-политических газет -
quot;Коммерсантаquot; - уже несколько дней подвергается хакерским
16 марта 2009 атакам, сообщил РИА Новости в понедельник источник в издании.
Сайт газеты в течение нескольких дней недоступен для просмотра
с внешних источников.
4. IBM Software Group | Rational software
Высокоуровневая архитектура веб-
приложения Здесь
Здесь хранятся
установлено важные
приложение данные
Internet
Internet
Firewall
Клиент
(Browser) Базы данных
SSL App Server
(Presentation)
(Бизнес логика)
Защищенный
транспорт Защищенная сеть Уровень данных
Middle Tier
5. IBM Software Group | Rational software
Безопасность приложений
Ландшафт информационной
безопасности
Rational AppScan
Клиентские
Транспорт Сеть Веб-приложения
станции
Антивирусная Шифрование Брандмауэры /
защита (SSL) Продвинутые
роутеры
Сервера Внутренний
Firewall
приложений сервер
Базы
Веб сервера данных
6. IBM Software Group | Rational software
Миф: “Наш веб-сайт неуязвим”
Мы используем
Мы используем
брандмауэры
брандмауэры Мы проверяем его раз в
Мы проверяем его раз в
(firewall)
(firewall) квартал ручным
квартал ручным
тестированием
тестированием
Мы используем сканеры
Мы используем сканеры
сетевой уязвимости
сетевой уязвимости
7. IBM Software Group | Rational software
Реальность: Безопасность и затраты
Безопасность Затраты
% of Attacks %$
Веб- 10%
приложения
75% 90%
Сервера
25%
75% всех атак приходится на уровень веб-
приложений
2/3 всех веб-приложений уязвимы
Sources: Gartner, Watchfire
8. IBM Software Group | Rational software
Тестирование безопасности в рамках
жизненного цикла разработки
Жизненный цикл
Разработка Сборка QA Безопасность Операции
Позвольте
специалистам по
Разработчики Безопасности
эффективно
доносить
необходимые
исправления
разработчикам
Разработчики
Убедитесь, что
уязвимости
исправлены перед
Обеспечение Разработчиков и установкой
Разработчики Тестировщиков экспертизой по приложений в
обнаружению и испралению промышленное
уязвимостей использование
9. IBM Software Group | Rational software
•Проблемы в области тестирования
веб-приложений
•Обзор самых
распространенных атак
•Последовательность работы
AppScan
•Возможности инструмента
10. IBM Software Group | Rational software
XSS процесс
Evil.org
5) Evil.org использует украденную
1) Ссылка на bank.com информацию по сессии пользователя
посылается пользователю для авторизации на сайте
E-mail или HTTP
4) Скрипт посылает пользовательскую
информацию без уведомления пользователя
Пользователь bank.com
2) Пользователь посылает скрипт встроенный как данные
3) Скрипт/данные возвращаются выполненные браузером
11. IBM Software Group | Rational software
Использование XSS
Если Вы запустите мой JavaScript, Я могу…
Украсть информацию (cookies) для веб-домена,
который вы просматриваете
Отслеживать все ваши действия в браузере с
момента запуска скрипта
Переправлять Вас на мой мошеннический сайт
Полностью модифицировать содержание страниц,
которые вы просматриваете в этом домене
…
XSS это наиболее используемая уязвимость
сегодня
12. IBM Software Group | Rational software
SQL-инъекции
Всавка SQL команд в данные, вводимые
пользователем:
Получить данные о продукте по id:
Select * from products where
id=‘$REQUEST[“id”]’;
Взлом: послать параметер id со значением ‘ or
‘1’=‘1
В результате будет выполнен SQL запрос:
Select * from products where id=‘’ or ‘1’=‘1’
Все продукты будут выбраны
13. IBM Software Group | Rational software
•Проблемы в области тестирования
веб-приложений
•Обзор самых распространенных
атак
•Последовательность работы
AppScan
•Возможности инструмента
14. IBM Software Group | Rational software
Как работает Rational AppScan
• Подход к приложению как к “черному ящику”
• Обследование веб приложения и построение модели сайта
• Определить векторы атак основываясь на выбранной политике
тестирования
• Тестирование посредством посылки модифицированных HTTP запросов
приложению и проверка HTTP ответов в соответствии с правилами
проверки Веб приложение
HTTP Запрос
Приложение
База данных
Веб
HTTP Ответ Сервер
15. IBM Software Group | Rational software
Проверяемые уровни безопасности
Rational AppScan
Web Services
Web Applications
Third-party Components
Web Server Configuration
Web Server
Database
ISS
Applications
Operating
System
Network
16. IBM Software Group | Rational software
Последовательность работы AppScan
1. Выбрать шаблон сканирования
2. Конфигурация быстрого сканирования (мастер)
а) Ввести стартовый URL
б) Выполнить ручной вход
в) (Опционально) Обзор тестовых политик
3. Запустить Scan Expert
4. Обзор предложенных изменений конфигурации и применить выборочно
5. Запустить автоматическое сканирование (Automatic Scan)
6. Проверить результаты и (если потребуется)
а) Обследовать дополнительные ссылки вручную
б) Распечатать отчеты
в) Обзор задач по исправлению
17. IBM Software Group | Rational software
•Проблемы в области тестирования
веб-приложений
•Обзор самых распространенных
атак
•Последовательность работы
AppScan
•Возможности инструмента
18. IBM Software Group | Rational software
Возможности Rational AppScan
• Автоматизированное сканирование
и тестирование web-приложений на
типовые уязвимости
• Сканирование широкого спектра
web-приложений, включая сервисы, Security Privacy Quality
выполнение и разбор Java-Script
• Мощные средства исправления Standards Compliance
1 2 3
уязвимостей, включая список Scan
Scan Analyze
Analyze Report
Report
Detailed, Actionable
действий для закрытия Detailed, Actionable
Information
Information
обнаруженных уязвимостей
• Интеграция со средствами
тестирования, совместное
расписание и отчетность Web-приложения –
• Более 40 готовых отчетов на основная цель атак!
соответствие требованиям
безопасности
19. IBM Software Group | Rational software
Фаза обследования
Построение
дерева
приложения
Количество
выполненных/
сгенерированных
тестов
20. IBM Software Group | Rational software
Фаза обследования – советы по
оптимизации сканирования
Советы по
оптимизации
сканирования
21. IBM Software Group | Rational software
Фаза тестирования
Найденные
уязвимости
22. IBM Software Group | Rational software
Информация об уязвимостях
Описание
уязвимости
Обучающее
видео,
описывающее
уязвимость
27. IBM Software Group | Rational software
Полезные ссылки
Видео презентация
http://www.ibm.com/developerworks/ru/events/appscan_video/register.html
Здесь можно скачать пробную версию Rational AppScan
http://www.ibm.com/developerworks/downloads/r/appscan/standarded.html?
S_TACT=105AGX28&S_CMP=DLMAIN
Форум
http://www.ibm.com/developerworks/forums/forum.jspa?forumID=1320