Upload
sqalab
View
1.458
Download
0
Embed Size (px)
DESCRIPTION
Доклад Никиты Постолакия на SQA Days-15. 18-19 апреля, 2014, Москва. www.sqadays.com
Citation preview
ОПЫТ ОРГАНИЗАЦИИ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ
WEB ПРИЛОЖЕНИЙНИКИТА ПОСТОЛАКИЙ
10 АПРЕЛЯ 2014
13.04.2023
Об авторе
Никита Постолакий
• 8+ лет в IT• PM проектов по тестированию
в Itera Consulting• Область интересов: тест
дизайн, управление рисками в тестировании, time management
• Курирую команду тестирования безопасности web приложений
/ 2
13.04.2023
Содержание
1. Задача которую необходимо было решить
2. Определение методологии
3. Получение компетенции в тестировании безопасности
4. Тестировщики Security – кто они? Несколько советов по построению команды
5. Основные этапы процесса тестирования безопасности
6. Вопросы
/ 3
13.04.2023
Задача:
1. Построить процесс тестирования безопасности в компании
2. Создать QA команду тестирования безопасности
3. Не привлекая внешних экспертов
4. В срок 6 месяцев
/ 4
13.04.2023
Задача
Дополнительные параметры проекта:
• Виды тестирования безопасности будут определены точнее в ходе проекта• Доступна команда из 3 инженеров с частичной загрузкой• Процесс тестирования должен охватывать полный спектр активностей «под ключ»• Процесс тестирования должен быть достаточно зрелым для продажи клиентам• Необходимо определить\разработать методику тестирования и построить процесс• Необходимо выбрать инструменты и ПО для проведения тестирования• Необходимо подготовить методические материалы – чек-листы, формы Excel,
форматы отчетов, планов, стратегий и.т.д.
/ 5
ОПРЕДЕЛЕНИЕ МЕТОДОЛОГИИ
13.04.2023
OWASP
Open Web Application Security Project (OWASP)
Некоммерческое сообщество по обеспечению безопасности веб приложений.
Основные направления деятельности OWASP:
- Создание документации по разработке секьюрного ПО – Development guide- Разработка методологии тестирования безопасности ПО - Testing guide- Разработка ПО для тестирования, анализа, мониторинга и разработки- Материалы для обучения - TOP 10
https://www.owasp.org
/ 7
13.04.2023
OWASP
• Более 200 проектов в области обеспечения безопасности ПО• Сообществом написано15 книг • Локальные сообщества в многих странах (и в Украине!)• Регулярные ивенты в области безопасности ПО
• Все проекты доступны бесплатно!
/ 8
13.04.2023 / 9
OWASP – компании поддерживающие сообщество
13.04.2023
Почему мы решили использовать методику тестирования web приложений OWASP?
/ 10
ПОЛУЧЕНИЕ КОМПЕТЕНЦИИ В ТЕСТИРОВАНИИ БЕЗОПАСНОСТИ
13.04.2023
Уровни тестирования безопасности
/ 12
Безопасность инфраструктуры
Безопасность приложения
Безопасность организации
• Сетевой уровень• Серверное ПО• Беспроводные сети• Firewall• VPN
• Веб приложения • Мобильные приложения• Desktop приложения• Анализ кода• Моделирование атаки
• Тренинги по безопасности• Секьюрити правила• Управление рисками• Business Continuity• Социальная инженерия
13.04.2023
Тестирование безопасности веб приложений
Configuration management• Анализ инфраструктуры• Работа с поисковыми машинами• Проверка серверного ПО
Penetration Testing• Валидация данных / Инъекции (SQL, XSS, XML, XPATH, OS
Commands, File Uploads etc.)• Тестирование аутентификации• Тестирование авторизации• Session management• DOS атаки
Тестирование безопасности бизнес логики
Тестирование безопасности веб-сервисов
/ 13
13.04.2023
Подходы к тестированию
/ 14
• Social Engineering
Черный ящик
Белый ящик
Серый ящик
13.04.2023
Учебные материалы
Методологии тестирования безопасности:– OWASP Testing Guide – Web – Open Source Security Testing Methodology Manual (OSSTMM)
Интерактивные учебные курсы– OWASP Web GOAT
Книги о тестировании безопасности– OWASP Testing Guide– Web Security Testing Cookbook (Paco Hope, Ben Walther)– Google Hacking for penetration testers (Johnny Long)– Hacking and Securing iOS Applications (Jonathan Zdziarski)– Mobile Application Security (Himanshu Dwivedi)
/ 15
13.04.2023
Организация тестового окружения для обучения
Как огранизовать тестовое окружение для обучения команды и практики на максимально приближенных к реальности примерах.
1. Damn Vulnerable Web Applicationhttp://www.dvwa.co.uk/
2. HACKADEMIC project https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project
3. OWASP Web Goat projecthttps://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
4. OWASP Live CDhttps://www.owasp.org/index.php/GPC_Project_Details/OWASP_Live_CD
/ 16
13.04.2023
Временные затраты нашего проекта
Обучение:
Построение процесса:
Пилотный проект:
/ 17
3 месяца
1 месяц
1,5 месяца
13.04.2023
Построение команды
Кто вам нужен что бы провести тестирование безопасности?
– Баланс технических знаний и навыков в тестировании– Аналитика и навыки менеджера
Наше решение:• 1 PM• 1 Senior QA инженер• 2 технаря (навыки программирования, сетевого администрирования)
/ 18
ОСНОВНЫЕ ЭТАПЫ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ ПРИЛОЖЕНИЯ
13.04.2023
Анализ и сбор информации
Цель этапа• Определить scope тестирования• Определить стратегию тестирования• Спланировать тестирование
Задачи и активности• Анализ инфраструктуры• Анализ технологий• Анализ бизнес процессов
Артефакты• Тест стратегия• Fingerprinting приложения
/ 20
13.04.2023
Проведение тестирования
Цель этапа• Поиск уязвимостей• Формирование exploit сценариев
Задачи и активности• Выполнение тестов• Фиксирование уязвимостей• Анализ уязвимостей
Артефакты• Результаты прохождения тестов• Список уязвимостей• Exploit сценарии
/ 21
13.04.2023
Оценка рисков и подготовка отчета
Цель этапа• Определение и оценка рисков безопасности• Подготовка рекомендаций по устранению уязвимости• Отчетность
Задачи и активности• Риск анализ• Разработка рекомендаций по устранению уязвимостей• Подготовка отчета
Артефакты• Risk evaluation матрица• Отчет о проведённом тестировании
/ 22
13.04.2023
Методика оценки рисков безопасности OWASP
Уязвимость безопасности != риску безопасности
Величина риска = вероятность * последствия
Факторы при оценке риска безопасности по OWASP:
/ 23
Вероятность
- Уровень взломщика- Мотивация - Размер группы- Возможность обнаружения- Простота обнаружения- Простота использования- Обнаружение взлома-И др.
Вероятность
- Финансовые убытки- Репутационные убытки- Личные данные- Потеря данных- Потеря конфиденциальности- И др.
13.04.2023
Вопросы?
/ 24
13.04.2023
Контакты
Буду рад ответить на вопросы, и просто пообщаться:
nikeeboy
http://www.linkedin.com/in/npostolakiy
/ 25