Embed Size (px)
DESCRIPTION
Тарас Иващенко, ЯндексАдминистратор информационной безопасности в Яндексе. Специалист по информационной безопасности, проповедник свободного программного обеспечения, автор Termite, xCobra и участник проекта W3AF.Тема докладаСканирование уязвимостей со вкусом Яндекса.ТезисыВ докладе будет рассказано о внедрении в Яндексе сканирования сервисов на уязвимости как одного из контроля безопасности в рамках SDLC (Secure Development Life Cycle). Речь пойдет о сканировании уязвимостей на этапе тестирования сервисов, а также о сканировании сервисов, находящихся в промышленной эксплуатации. Мы рассмотрим проблемы, с которыми столкнулись, и объясним, почему в качестве основного механизма решили выбрать открытое программное обеспечение (сканер уязвимостей w3af), доработанное под наши нужды.
Citation preview
Сканирование со вкусомЯндекса
Докладчик: Тарас Иващенко [email protected]Мероприятие: YaC, Москва, 19 сентября 2011 года
План• Цикл разработки ПО• Безопасность конфигураций• Сканирование на уязвимости• Проблемы и решения• Happy end?
Особенности и реалии
Цикл разработки ПО
Цикл разработки ПО
Безопасность конфигурацийOWASP Top 10 > SecurityMisconfiguration• /Makefile, /CVS/Entries и т.п.• Устаревшие версии ПО• Отладочная информация• Доступные специнтерфейсы
Безопасность конфигурацийРешение• Регулярное сканирование всего: nmap + w3af + pykto• Более тысячи целей• Автоматическое оповещение ответственных
администраторов• Доработки вернули в проект w3af• Profit!!11
Свободное ПО и Яндекс
Сканирование на уязвимостиТекущий подход• Наши тестировщики "умеют" ещё и безопасность• Регулярные сканирования перед релизами• Охват всех сервисов
Сканирование на уязвимостиТекущее решение• Проприетарное• Одно из самых мощных• Слабо поддаётся интеграции в инфраструктуру
компании• "Мелочи", которые портят всё: ЧПУ, AJAX,
платформозависимость ;(• Цена
Сканирование на уязвимости
Сканирование на уязвимостиw3af• Фреймворк для аудита безопасности веб-приложений• GNU GPL v2, Python (и "батарейки")• Возможность расширения: сотни плагинов• Мы не будем писать проект "с нуля"!• Международный проект со своим сообществом
Сканирование на уязвимостиНаши доработки• Полноценный веб-интерфейс• Пользователи• ЧПУ• Удобная аутентификация в сервисах• Тестируем веб 2.0 приложения
w3afВеб-интерфейс• Django• Многопользовательский режим• Планирование сканирований• Интеграция с внутренними сервисами• Статистика
w3afВеб-интерфейс
w3afЧПУ
•http://fotki.yandex.ru/top/users/fotograf-17/view/361364/• Набор правил:
/top/users/%s/view/%d//controller/action/%d/...
w3afУдобная аутентификация всервисах• Существующие подходы ("запись логина")• Auth-плагины:
; @include Pentest_Profile[auth.yandex]username = test_userpassword = **************passport_host = passport.yandex.ru
Веб 1.0 -> 2.0Классический сканер c веб 2.0 работает плохо!
Веб 2.0Как сканироватьавтоматизированно?• Встроенный веб-браузер с JavaScript-движком• Selenium• Парсинг и подмешивание логов• ..?
Присоединяйся!У нас есть печеньки!...
![Наземное лазерное сканирование Focus 3D [ Faro ] Санкт-Петербург 20 1 1 год](https://img.pdfslide.tips/doc/110x75/5681399b550346895da133ae/-focus-3d-faro.jpg)
