ОПЫТ ОРГАНИЗАЦИИ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ

WEB ПРИЛОЖЕНИЙНИКИТА ПОСТОЛАКИЙ

10 АПРЕЛЯ 2014

13.04.2023

Об авторе

Никита Постолакий

• 8+ лет в IT• PM проектов по тестированию

в Itera Consulting• Область интересов: тест

дизайн, управление рисками в тестировании, time management

• Курирую команду тестирования безопасности web приложений

/ 2

13.04.2023

Содержание

1. Задача которую необходимо было решить

2. Определение методологии

3. Получение компетенции в тестировании безопасности

4. Тестировщики Security – кто они? Несколько советов по построению команды

5. Основные этапы процесса тестирования безопасности

6. Вопросы

/ 3

13.04.2023

Задача:

1. Построить процесс тестирования безопасности в компании

2. Создать QA команду тестирования безопасности

3. Не привлекая внешних экспертов

4. В срок 6 месяцев

/ 4

13.04.2023

Задача

Дополнительные параметры проекта:

• Виды тестирования безопасности будут определены точнее в ходе проекта• Доступна команда из 3 инженеров с частичной загрузкой• Процесс тестирования должен охватывать полный спектр активностей «под ключ»• Процесс тестирования должен быть достаточно зрелым для продажи клиентам• Необходимо определить\разработать методику тестирования и построить процесс• Необходимо выбрать инструменты и ПО для проведения тестирования• Необходимо подготовить методические материалы – чек-листы, формы Excel,

форматы отчетов, планов, стратегий и.т.д.

/ 5

ОПРЕДЕЛЕНИЕ МЕТОДОЛОГИИ

13.04.2023

OWASP

Open Web Application Security Project (OWASP)

Некоммерческое сообщество по обеспечению безопасности веб приложений.

Основные направления деятельности OWASP:

- Создание документации по разработке секьюрного ПО – Development guide- Разработка методологии тестирования безопасности ПО - Testing guide- Разработка ПО для тестирования, анализа, мониторинга и разработки- Материалы для обучения - TOP 10

https://www.owasp.org

/ 7

13.04.2023

OWASP

• Более 200 проектов в области обеспечения безопасности ПО• Сообществом написано15 книг • Локальные сообщества в многих странах (и в Украине!)• Регулярные ивенты в области безопасности ПО

• Все проекты доступны бесплатно!

/ 8

13.04.2023 / 9

OWASP – компании поддерживающие сообщество

13.04.2023

Почему мы решили использовать методику тестирования web приложений OWASP?

/ 10

ПОЛУЧЕНИЕ КОМПЕТЕНЦИИ В ТЕСТИРОВАНИИ БЕЗОПАСНОСТИ

13.04.2023

Уровни тестирования безопасности

/ 12

Безопасность инфраструктуры

Безопасность приложения

Безопасность организации

• Сетевой уровень• Серверное ПО• Беспроводные сети• Firewall• VPN

• Веб приложения • Мобильные приложения• Desktop приложения• Анализ кода• Моделирование атаки

• Тренинги по безопасности• Секьюрити правила• Управление рисками• Business Continuity• Социальная инженерия

13.04.2023

Тестирование безопасности веб приложений

Configuration management• Анализ инфраструктуры• Работа с поисковыми машинами• Проверка серверного ПО

Penetration Testing• Валидация данных / Инъекции (SQL, XSS, XML, XPATH, OS

Commands, File Uploads etc.)• Тестирование аутентификации• Тестирование авторизации• Session management• DOS атаки

Тестирование безопасности бизнес логики

Тестирование безопасности веб-сервисов

/ 13

13.04.2023

Подходы к тестированию

/ 14

• Social Engineering

Черный ящик

Белый ящик

Серый ящик

13.04.2023

Учебные материалы

Методологии тестирования безопасности:– OWASP Testing Guide – Web – Open Source Security Testing Methodology Manual (OSSTMM)

Интерактивные учебные курсы– OWASP Web GOAT

Книги о тестировании безопасности– OWASP Testing Guide– Web Security Testing Cookbook (Paco Hope, Ben Walther)– Google Hacking for penetration testers (Johnny Long)– Hacking and Securing iOS Applications (Jonathan Zdziarski)– Mobile Application Security (Himanshu Dwivedi)

/ 15

13.04.2023

Организация тестового окружения для обучения

Как огранизовать тестовое окружение для обучения команды и практики на максимально приближенных к реальности примерах.

1. Damn Vulnerable Web Applicationhttp://www.dvwa.co.uk/

2. HACKADEMIC project https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project

3. OWASP Web Goat projecthttps://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

4. OWASP Live CDhttps://www.owasp.org/index.php/GPC_Project_Details/OWASP_Live_CD

/ 16

13.04.2023

Временные затраты нашего проекта

Обучение:

Построение процесса:

Пилотный проект:

/ 17

3 месяца

1 месяц

1,5 месяца

13.04.2023

Построение команды

Кто вам нужен что бы провести тестирование безопасности?

– Баланс технических знаний и навыков в тестировании– Аналитика и навыки менеджера

Наше решение:• 1 PM• 1 Senior QA инженер• 2 технаря (навыки программирования, сетевого администрирования)

/ 18

ОСНОВНЫЕ ЭТАПЫ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ ПРИЛОЖЕНИЯ

13.04.2023

Анализ и сбор информации

Цель этапа• Определить scope тестирования• Определить стратегию тестирования• Спланировать тестирование

Задачи и активности• Анализ инфраструктуры• Анализ технологий• Анализ бизнес процессов

Артефакты• Тест стратегия• Fingerprinting приложения

/ 20

13.04.2023

Проведение тестирования

Цель этапа• Поиск уязвимостей• Формирование exploit сценариев

Задачи и активности• Выполнение тестов• Фиксирование уязвимостей• Анализ уязвимостей

Артефакты• Результаты прохождения тестов• Список уязвимостей• Exploit сценарии

/ 21

13.04.2023

Оценка рисков и подготовка отчета

Цель этапа• Определение и оценка рисков безопасности• Подготовка рекомендаций по устранению уязвимости• Отчетность

Задачи и активности• Риск анализ• Разработка рекомендаций по устранению уязвимостей• Подготовка отчета

Артефакты• Risk evaluation матрица• Отчет о проведённом тестировании

/ 22

13.04.2023

Методика оценки рисков безопасности OWASP

Уязвимость безопасности != риску безопасности

Величина риска = вероятность * последствия

Факторы при оценке риска безопасности по OWASP:

/ 23

Вероятность

- Уровень взломщика- Мотивация - Размер группы- Возможность обнаружения- Простота обнаружения- Простота использования- Обнаружение взлома-И др.

Вероятность

- Финансовые убытки- Репутационные убытки- Личные данные- Потеря данных- Потеря конфиденциальности- И др.

13.04.2023

Вопросы?

/ 24

13.04.2023

Контакты

Буду рад ответить на вопросы, и просто пообщаться:

nikeeboy

http://www.linkedin.com/in/npostolakiy

nikeeboy@gmail.com

/ 25