2. Webová aplikace
Co to je webová aplikace
Aplikace klient x server založená převážně na HTML protokolu
www.rac.cz
Logika převážně založena na relační databázi (Oracle, MS SQL,
MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java)
Risk Analysis Consultants
Každá aplikace je jiná a jedinečná
V060420
RAC QualysGuard InfoDay 2012 2
3. QG WAS 2.X
Nová verze WAS 2.0
Od Q4 2011
www.rac.cz
Současná verze 2.3, postupná drobná vylepšení
Základní vlastnosti
Risk Analysis Consultants
SaaS based delivery to get up and running quickly and efficiently
Scanning that is scalable to thousands of applications
Highly automated to reduce resource requirements
Automated dynamic application scanning
Authenticated and non-authenticated scanning
Intelligent web app crawler and scanner
V060420
Updated constantly (11 Engine releases since 2010)
Deployed in minutes using external and internal scanners
Scanner training or expertise not needed
Reports available upon scan completion
RAC QualysGuard InfoDay 2012
4. QG WAS – co testuje ?
Všeobecné informace o webové aplikaci
Struktura webové aplikace
www.rac.cz
Odkazy na externí weby, vadné odkazy, seznam emailů
Vlastnosti Session, Cookies, formulářů
Risk Analysis Consultants
Zranitelnosti SQL Injection
Způsobeno nedostatečnou validací vstupů
Umožňuje získat data z databáze nebo obejít přístupová práva aplikace
Zranitelnosti XSS Cross-site scripting
Způsobeno nedostatečnou validací vstupů
Umožňují podvrhnout část obsahu webu
Další zranitelnosti
V060420
Stránky generující chybová hlášení
Soubory, adresáře, výpisy adresářů
RAC QualysGuard InfoDay 2012
5. Funkce pro katalogizaci web aplikací
Možnost využití
Využití výsledků scanování, import do katalogu
www.rac.cz
Vytváření katalogu všech web aplikací (http, https, další porty)
Schvalovací proces, obdoba jako u mapování
Risk Analysis Consultants
V060420
RAC QualysGuard InfoDay 2012 5
8. Formulářové přihlašování - popis
Formulářové přihlašování
Používá většina webů
www.rac.cz
Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou
různé
Risk Analysis Consultants
Při přihlašování použity často další skryté parametry, např. cookies
Není úplně triviální zjistit typ autentizace
V060420
RAC QualysGuard InfoDay 2011 8
9. Autentizace - podpora pro selenium IDE
Formulářové přihlašování
Usnadňuje autentizaci
www.rac.cz
Od verze WAS 2.1
Risk Analysis Consultants
V060420
RAC QualysGuard InfoDay 2011 9
10. Autentizace - podpora pro client certifikáty
Formulářové přihlašování
Od verze WAS 2.1
www.rac.cz
Usnadňuje autentizaci u specifických webů
Risk Analysis Consultants
V060420
RAC QualysGuard InfoDay 2012 10
11. Crawling
Přesná specifikace cíle testování
White list, Black List, Explicit URL, POST Data Black List
www.rac.cz
Od verze WAS 2.3 – podpora selenium IDE pro definici přístupu
Risk Analysis Consultants
V060420
RAC QualysGuard InfoDay 2012 11
12. Dynamické tagování
Novinka ve specifikace aktiv
Bude postupně zavedena ve všech modulech (VM, PC)
www.rac.cz
Nahradí ne příliš pružné rozdělení aktiv do Assets group
Risk Analysis Consultants
V060420
RAC QualysGuard InfoDay 2012 12
13. Discovery scan
Nevyhledává zranitelnosti
Pouze prochází strukturu
www.rac.cz
V reportu „modré“ informace , slouží hlavně k ladění
Risk Analysis Consultants
V060420
RAC QualysGuard InfoDay 2012 13