SlideShare une entreprise Scribd logo

QualysGuard InfoDay 2012 - Web Application Scanning

Télécharger en tant que PPT, PDF
Risk Analysis Consultants, s.r.o.
Risk Analysis Consultants, s.r.o.

Web Application Scanning, WAS,

Business
1  sur  16
Risk Analysis Consultants www.rac.cz V060420 Web Application Scanning RAC QualysGuard InfoDay 2012 1
Webová aplikace Co to je webová aplikace Aplikace klient x server založená převážně na HTML protokolu www.rac.cz Logika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java) Risk Analysis Consultants Každá aplikace je jiná a jedinečná V060420 RAC QualysGuard InfoDay 2012 2
QG WAS 2.X Nová verze WAS 2.0 Od Q4 2011 www.rac.cz Současná verze 2.3, postupná drobná vylepšení Základní vlastnosti Risk Analysis Consultants SaaS based delivery to get up and running quickly and efficiently Scanning that is scalable to thousands of applications Highly automated to reduce resource requirements Automated dynamic application scanning Authenticated and non-authenticated scanning Intelligent web app crawler and scanner V060420 Updated constantly (11 Engine releases since 2010) Deployed in minutes using external and internal scanners Scanner training or expertise not needed Reports available upon scan completion RAC QualysGuard InfoDay 2012
QG WAS – co testuje ? Všeobecné informace o webové aplikaci Struktura webové aplikace www.rac.cz Odkazy na externí weby, vadné odkazy, seznam emailů Vlastnosti Session, Cookies, formulářů Risk Analysis Consultants Zranitelnosti SQL Injection Způsobeno nedostatečnou validací vstupů Umožňuje získat data z databáze nebo obejít přístupová práva aplikace Zranitelnosti XSS Cross-site scripting Způsobeno nedostatečnou validací vstupů Umožňují podvrhnout část obsahu webu Další zranitelnosti V060420 Stránky generující chybová hlášení Soubory, adresáře, výpisy adresářů RAC QualysGuard InfoDay 2012
Funkce pro katalogizaci web aplikací Možnost využití Využití výsledků scanování, import do katalogu www.rac.cz Vytváření katalogu všech web aplikací (http, https, další porty) Schvalovací proces, obdoba jako u mapování Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 5
Risk Analysis Consultants www.rac.cz V060420 Průvodce pro konfiguraci RAC QualysGuard InfoDay 2012 6
Risk Analysis Consultants www.rac.cz V060420 Průvodce pro autentizaci RAC QualysGuard InfoDay 2011 7
Formulářové přihlašování - popis Formulářové přihlašování Používá většina webů www.rac.cz Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různé Risk Analysis Consultants Při přihlašování použity často další skryté parametry, např. cookies Není úplně triviální zjistit typ autentizace V060420 RAC QualysGuard InfoDay 2011 8
Autentizace - podpora pro selenium IDE Formulářové přihlašování Usnadňuje autentizaci www.rac.cz Od verze WAS 2.1 Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2011 9
Autentizace - podpora pro client certifikáty Formulářové přihlašování Od verze WAS 2.1 www.rac.cz Usnadňuje autentizaci u specifických webů Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 10
Crawling Přesná specifikace cíle testování White list, Black List, Explicit URL, POST Data Black List www.rac.cz Od verze WAS 2.3 – podpora selenium IDE pro definici přístupu Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 11
Dynamické tagování Novinka ve specifikace aktiv Bude postupně zavedena ve všech modulech (VM, PC) www.rac.cz Nahradí ne příliš pružné rozdělení aktiv do Assets group Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 12
Discovery scan Nevyhledává zranitelnosti Pouze prochází strukturu www.rac.cz V reportu „modré“ informace , slouží hlavně k ladění Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 13
Risk Analysis Consultants www.rac.cz V060420 Interaktivní reporty RAC QualysGuard InfoDay 2012 14
Risk Analysis Consultants V060420 www.rac.cz Reporty RAC QualysGuard InfoDay 2012 15
WAS – souhrn změn WAS 2.0 2011 New UI, WSDL Fuzzing, XHR Security Origin www.rac.cz WAS 2.1 Nov 17 2011 Selenium Authentication, Client Certificates, Additional Links Risk Analysis Consultants (static pages), “API Framework“ WAS 2.2 Jan 2012 New HTML5 detections (engine), API Useable, XHR Testing, Report Enhancements WAS 2.3 Apr 2012 Selenium input and Improved Web Application setting (crawling) , New Enumeration, UI Facelift, Finalized API, More Detections V060420 RAC QualysGuard InfoDay 2012 16

Recommandé

QualysGuard InfoDay 2012 - BrowserCheck
QualysGuard InfoDay 2012 - BrowserCheckQualysGuard InfoDay 2012 - BrowserCheck
QualysGuard InfoDay 2012 - BrowserCheckRisk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2012 - Virtual Appliance
QualysGuard InfoDay 2012 - Virtual ApplianceQualysGuard InfoDay 2012 - Virtual Appliance
QualysGuard InfoDay 2012 - Virtual ApplianceRisk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2013 - Asset Management
QualysGuard InfoDay 2013 - Asset ManagementQualysGuard InfoDay 2013 - Asset Management
QualysGuard InfoDay 2013 - Asset ManagementRisk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2014 - Vulnerability management
QualysGuard InfoDay 2014 - Vulnerability managementQualysGuard InfoDay 2014 - Vulnerability management
QualysGuard InfoDay 2014 - Vulnerability managementRisk Analysis Consultants, s.r.o.
 
WAS 2.0 (2011)
WAS 2.0 (2011)WAS 2.0 (2011)
WAS 2.0 (2011)Risk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2014 - WAS
QualysGuard InfoDay 2014 - WASQualysGuard InfoDay 2014 - WAS
QualysGuard InfoDay 2014 - WASRisk Analysis Consultants, s.r.o.
 
IT Risk Management & Leadership 23 - 26 June 2013 Dubai
IT Risk Management & Leadership 23 - 26 June 2013 DubaiIT Risk Management & Leadership 23 - 26 June 2013 Dubai
IT Risk Management & Leadership 23 - 26 June 2013 Dubai360 BSI
 
Contract for Sale of City-Owned Property on Harvey Mitchell Parkway
Contract for Sale of City-Owned Property on Harvey Mitchell ParkwayContract for Sale of City-Owned Property on Harvey Mitchell Parkway
Contract for Sale of City-Owned Property on Harvey Mitchell ParkwayCity of College Station
 

Recommandé

QualysGuard InfoDay 2012 - BrowserCheck
QualysGuard InfoDay 2012 - BrowserCheckQualysGuard InfoDay 2012 - BrowserCheck
QualysGuard InfoDay 2012 - BrowserCheckRisk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2012 - Virtual Appliance
QualysGuard InfoDay 2012 - Virtual ApplianceQualysGuard InfoDay 2012 - Virtual Appliance
QualysGuard InfoDay 2012 - Virtual ApplianceRisk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2013 - Asset Management
QualysGuard InfoDay 2013 - Asset ManagementQualysGuard InfoDay 2013 - Asset Management
QualysGuard InfoDay 2013 - Asset ManagementRisk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2014 - Vulnerability management
QualysGuard InfoDay 2014 - Vulnerability managementQualysGuard InfoDay 2014 - Vulnerability management
QualysGuard InfoDay 2014 - Vulnerability managementRisk Analysis Consultants, s.r.o.
 
WAS 2.0 (2011)
WAS 2.0 (2011)WAS 2.0 (2011)
WAS 2.0 (2011)Risk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2014 - WAS
QualysGuard InfoDay 2014 - WASQualysGuard InfoDay 2014 - WAS
QualysGuard InfoDay 2014 - WASRisk Analysis Consultants, s.r.o.
 
IT Risk Management & Leadership 23 - 26 June 2013 Dubai
IT Risk Management & Leadership 23 - 26 June 2013 DubaiIT Risk Management & Leadership 23 - 26 June 2013 Dubai
IT Risk Management & Leadership 23 - 26 June 2013 Dubai360 BSI
 
Contract for Sale of City-Owned Property on Harvey Mitchell Parkway
Contract for Sale of City-Owned Property on Harvey Mitchell ParkwayContract for Sale of City-Owned Property on Harvey Mitchell Parkway
Contract for Sale of City-Owned Property on Harvey Mitchell ParkwayCity of College Station
 
IOSRPHR(www.iosrphr.org) IOSR Journal of Pharmacy
IOSRPHR(www.iosrphr.org) IOSR Journal of PharmacyIOSRPHR(www.iosrphr.org) IOSR Journal of Pharmacy
IOSRPHR(www.iosrphr.org) IOSR Journal of Pharmacyiosrphr_editor
 
Communications Planning
Communications PlanningCommunications Planning
Communications Planningrachelours
 
Ps Tsoh106
Ps Tsoh106Ps Tsoh106
Ps Tsoh106David Beagin
 
Getting Your Employees to Use Common Sense
Getting Your Employees to Use Common Sense Getting Your Employees to Use Common Sense
Getting Your Employees to Use Common Sense Common Sense University
 
Pv0609
Pv0609Pv0609
Pv0609David Beagin
 
Pv0509
Pv0509Pv0509
Pv0509David Beagin
 
Contenido
ContenidoContenido
ContenidoPatricia Martínez
 
Ini ef telecomunicaciones
Ini ef telecomunicacionesIni ef telecomunicaciones
Ini ef telecomunicacionesAcontecer Querétaro
 
Anti taurino 11°
Anti taurino 11°Anti taurino 11°
Anti taurino 11°agt11
 
Origen universo
Origen universoOrigen universo
Origen universoinvanpucha
 
Unidade3 roteiro atividades
Unidade3 roteiro atividadesUnidade3 roteiro atividades
Unidade3 roteiro atividadespesquisadoresdigitais
 
Qgis 1.4.0 manual-do_usuário_0.1_ForDãO.
Qgis 1.4.0 manual-do_usuário_0.1_ForDãO.Qgis 1.4.0 manual-do_usuário_0.1_ForDãO.
Qgis 1.4.0 manual-do_usuário_0.1_ForDãO.Tiago ForDão
 
Pdf pasada a wort
Pdf pasada a wortPdf pasada a wort
Pdf pasada a wortmotores40
 
Segredos do mar
Segredos do marSegredos do mar
Segredos do marLiliana Lincka
 
Ispring
IspringIspring
IspringcarmonaAle
 
Conductas
ConductasConductas
ConductasNeptali Garcia Flores
 
Web quest animais pré históricos pen
Web quest animais pré históricos penWeb quest animais pré históricos pen
Web quest animais pré históricos pencibelimarinho
 
ALEX PEREZ - ÀFRICA DIGNA
ALEX PEREZ - ÀFRICA DIGNAALEX PEREZ - ÀFRICA DIGNA
ALEX PEREZ - ÀFRICA DIGNAjotaemapemarina
 
Ppt2
Ppt2Ppt2
Ppt2Andrea M C
 
01 inicio libro
01 inicio libro01 inicio libro
01 inicio libroFranklin Valdiviezo Gutierrez
 
5was 100524062135-phpapp02
5was 100524062135-phpapp025was 100524062135-phpapp02
5was 100524062135-phpapp02simon680
 
Web Application Scanning (WAS)
Web Application Scanning (WAS)Web Application Scanning (WAS)
Web Application Scanning (WAS)Risk Analysis Consultants, s.r.o.
 

Contenu connexe

En vedette

IOSRPHR(www.iosrphr.org) IOSR Journal of Pharmacy
IOSRPHR(www.iosrphr.org) IOSR Journal of PharmacyIOSRPHR(www.iosrphr.org) IOSR Journal of Pharmacy
IOSRPHR(www.iosrphr.org) IOSR Journal of Pharmacyiosrphr_editor
 
Communications Planning
Communications PlanningCommunications Planning
Communications Planningrachelours
 
Getting Your Employees to Use Common Sense
Getting Your Employees to Use Common Sense Getting Your Employees to Use Common Sense
Getting Your Employees to Use Common Sense Common Sense University
 
Anti taurino 11°
Anti taurino 11°Anti taurino 11°
Anti taurino 11°agt11
 
Origen universo
Origen universoOrigen universo
Origen universoinvanpucha
 
Qgis 1.4.0 manual-do_usuário_0.1_ForDãO.
Qgis 1.4.0 manual-do_usuário_0.1_ForDãO.Qgis 1.4.0 manual-do_usuário_0.1_ForDãO.
Qgis 1.4.0 manual-do_usuário_0.1_ForDãO.Tiago ForDão
 
Pdf pasada a wort
Pdf pasada a wortPdf pasada a wort
Pdf pasada a wortmotores40
 
Web quest animais pré históricos pen
Web quest animais pré históricos penWeb quest animais pré históricos pen
Web quest animais pré históricos pencibelimarinho
 
ALEX PEREZ - ÀFRICA DIGNA
ALEX PEREZ - ÀFRICA DIGNAALEX PEREZ - ÀFRICA DIGNA
ALEX PEREZ - ÀFRICA DIGNAjotaemapemarina
 

En vedette (20)

IOSRPHR(www.iosrphr.org) IOSR Journal of Pharmacy
IOSRPHR(www.iosrphr.org) IOSR Journal of PharmacyIOSRPHR(www.iosrphr.org) IOSR Journal of Pharmacy
IOSRPHR(www.iosrphr.org) IOSR Journal of Pharmacy
 
Communications Planning
Communications PlanningCommunications Planning
Communications Planning
 
Ps Tsoh106
Ps Tsoh106Ps Tsoh106
Ps Tsoh106
 
Getting Your Employees to Use Common Sense
Getting Your Employees to Use Common Sense Getting Your Employees to Use Common Sense
Getting Your Employees to Use Common Sense
 
Pv0609
Pv0609Pv0609
Pv0609
 
Pv0509
Pv0509Pv0509
Pv0509
 
Contenido
ContenidoContenido
Contenido
 
Ini ef telecomunicaciones
Ini ef telecomunicacionesIni ef telecomunicaciones
Ini ef telecomunicaciones
 
Anti taurino 11°
Anti taurino 11°Anti taurino 11°
Anti taurino 11°
 
Origen universo
Origen universoOrigen universo
Origen universo
 
Unidade3 roteiro atividades
Unidade3 roteiro atividadesUnidade3 roteiro atividades
Unidade3 roteiro atividades
 
Qgis 1.4.0 manual-do_usuário_0.1_ForDãO.
Qgis 1.4.0 manual-do_usuário_0.1_ForDãO.Qgis 1.4.0 manual-do_usuário_0.1_ForDãO.
Qgis 1.4.0 manual-do_usuário_0.1_ForDãO.
 
Pdf pasada a wort
Pdf pasada a wortPdf pasada a wort
Pdf pasada a wort
 
Segredos do mar
Segredos do marSegredos do mar
Segredos do mar
 
Ispring
IspringIspring
Ispring
 
Conductas
ConductasConductas
Conductas
 
Web quest animais pré históricos pen
Web quest animais pré históricos penWeb quest animais pré históricos pen
Web quest animais pré históricos pen
 
ALEX PEREZ - ÀFRICA DIGNA
ALEX PEREZ - ÀFRICA DIGNAALEX PEREZ - ÀFRICA DIGNA
ALEX PEREZ - ÀFRICA DIGNA
 
Ppt2
Ppt2Ppt2
Ppt2
 
01 inicio libro
01 inicio libro01 inicio libro
01 inicio libro
 

Similaire à QualysGuard InfoDay 2012 - Web Application Scanning

5was 100524062135-phpapp02
5was 100524062135-phpapp025was 100524062135-phpapp02
5was 100524062135-phpapp02simon680
 
20091202 Aplikované nástroje SW inženýra
20091202 Aplikované nástroje SW inženýra20091202 Aplikované nástroje SW inženýra
20091202 Aplikované nástroje SW inženýraJiří Mareš
 
Presentation IBM Rational AppScan
Presentation IBM Rational AppScanPresentation IBM Rational AppScan
Presentation IBM Rational AppScanMatouš Havlena
 
2009 X33EJA Moderní Technologie Pro Vývoj JEE
2009 X33EJA Moderní Technologie Pro Vývoj JEE2009 X33EJA Moderní Technologie Pro Vývoj JEE
2009 X33EJA Moderní Technologie Pro Vývoj JEEMartin Ptáček
 
2007 Technologie Pro Tvorbu Java Enterprise Aplikací
2007 Technologie Pro Tvorbu Java Enterprise Aplikací2007 Technologie Pro Tvorbu Java Enterprise Aplikací
2007 Technologie Pro Tvorbu Java Enterprise AplikacíMartin Ptáček
 
Jak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciJak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciMarketingArrowECS_CZ
 
Bezpečnost pro vaše data s minimem úsilí
Bezpečnost pro vaše data s minimem úsilíBezpečnost pro vaše data s minimem úsilí
Bezpečnost pro vaše data s minimem úsilíMarketingArrowECS_CZ
 
Proč (ne)chceš použít Vaadin pro vývoj webové aplikace
Proč (ne)chceš použít Vaadin pro vývoj webové aplikaceProč (ne)chceš použít Vaadin pro vývoj webové aplikace
Proč (ne)chceš použít Vaadin pro vývoj webové aplikaceTomáš Bambas
 
2011 X33EJA Výkonové Aspekty JEE Monitoring a optimalizace
2011 X33EJA Výkonové Aspekty JEE Monitoring a optimalizace2011 X33EJA Výkonové Aspekty JEE Monitoring a optimalizace
2011 X33EJA Výkonové Aspekty JEE Monitoring a optimalizaceMartin Ptáček
 
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WASQualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WASRisk Analysis Consultants, s.r.o.
 
NSX - Bezpečnost a automatizace sítí DC
NSX - Bezpečnost a automatizace sítí DCNSX - Bezpečnost a automatizace sítí DC
NSX - Bezpečnost a automatizace sítí DCMarketingArrowECS_CZ
 
Jak vypadá ideální bankovní API?
Jak vypadá ideální bankovní API? Jak vypadá ideální bankovní API?
Jak vypadá ideální bankovní API? Petr Dvorak
 

Similaire à QualysGuard InfoDay 2012 - Web Application Scanning (20)

5was 100524062135-phpapp02
5was 100524062135-phpapp025was 100524062135-phpapp02
5was 100524062135-phpapp02
 
Web Application Scanning (WAS)
Web Application Scanning (WAS)Web Application Scanning (WAS)
Web Application Scanning (WAS)
 
QualysGuard InfoDay 2013 - Nové funkce QG
QualysGuard InfoDay 2013 - Nové funkce QGQualysGuard InfoDay 2013 - Nové funkce QG
QualysGuard InfoDay 2013 - Nové funkce QG
 
Qualys Application Programming Interface (API) (2011)
Qualys Application Programming Interface (API) (2011)Qualys Application Programming Interface (API) (2011)
Qualys Application Programming Interface (API) (2011)
 
2009 CA Wily Introscope
2009 CA Wily Introscope2009 CA Wily Introscope
2009 CA Wily Introscope
 
QualysGuard InfoDay 2014 - Policy compliance
QualysGuard InfoDay 2014 - Policy complianceQualysGuard InfoDay 2014 - Policy compliance
QualysGuard InfoDay 2014 - Policy compliance
 
QualysGuard InfoDay 2013 - Qualys Questionnaire
QualysGuard InfoDay 2013 - Qualys QuestionnaireQualysGuard InfoDay 2013 - Qualys Questionnaire
QualysGuard InfoDay 2013 - Qualys Questionnaire
 
20091202 Aplikované nástroje SW inženýra
20091202 Aplikované nástroje SW inženýra20091202 Aplikované nástroje SW inženýra
20091202 Aplikované nástroje SW inženýra
 
Presentation IBM Rational AppScan
Presentation IBM Rational AppScanPresentation IBM Rational AppScan
Presentation IBM Rational AppScan
 
2009 X33EJA Moderní Technologie Pro Vývoj JEE
2009 X33EJA Moderní Technologie Pro Vývoj JEE2009 X33EJA Moderní Technologie Pro Vývoj JEE
2009 X33EJA Moderní Technologie Pro Vývoj JEE
 
2007 Technologie Pro Tvorbu Java Enterprise Aplikací
2007 Technologie Pro Tvorbu Java Enterprise Aplikací2007 Technologie Pro Tvorbu Java Enterprise Aplikací
2007 Technologie Pro Tvorbu Java Enterprise Aplikací
 
Policy Compliance Testing (2011)
Policy Compliance Testing (2011)Policy Compliance Testing (2011)
Policy Compliance Testing (2011)
 
Jak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciJak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaci
 
Tipy a triky pro QualysGuard
Tipy a triky pro QualysGuardTipy a triky pro QualysGuard
Tipy a triky pro QualysGuard
 
Bezpečnost pro vaše data s minimem úsilí
Bezpečnost pro vaše data s minimem úsilíBezpečnost pro vaše data s minimem úsilí
Bezpečnost pro vaše data s minimem úsilí
 
Proč (ne)chceš použít Vaadin pro vývoj webové aplikace
Proč (ne)chceš použít Vaadin pro vývoj webové aplikaceProč (ne)chceš použít Vaadin pro vývoj webové aplikace
Proč (ne)chceš použít Vaadin pro vývoj webové aplikace
 
2011 X33EJA Výkonové Aspekty JEE Monitoring a optimalizace
2011 X33EJA Výkonové Aspekty JEE Monitoring a optimalizace2011 X33EJA Výkonové Aspekty JEE Monitoring a optimalizace
2011 X33EJA Výkonové Aspekty JEE Monitoring a optimalizace
 
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WASQualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS
 
NSX - Bezpečnost a automatizace sítí DC
NSX - Bezpečnost a automatizace sítí DCNSX - Bezpečnost a automatizace sítí DC
NSX - Bezpečnost a automatizace sítí DC
 
Jak vypadá ideální bankovní API?
Jak vypadá ideální bankovní API? Jak vypadá ideální bankovní API?
Jak vypadá ideální bankovní API?
 

Plus de Risk Analysis Consultants, s.r.o.

RAC DEAS - Univerzální SW nástroj k zajištění digitálních stop
RAC DEAS - Univerzální SW nástroj k zajištění digitálních stopRAC DEAS - Univerzální SW nástroj k zajištění digitálních stop
RAC DEAS - Univerzální SW nástroj k zajištění digitálních stopRisk Analysis Consultants, s.r.o.
 
RAC DEAT - Univerální HW nástroje pro zajištění digitálních stop
RAC DEAT - Univerální HW nástroje pro zajištění digitálních stopRAC DEAT - Univerální HW nástroje pro zajištění digitálních stop
RAC DEAT - Univerální HW nástroje pro zajištění digitálních stopRisk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...Risk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2014 - QualysGuard Continuous Monitoring
QualysGuard InfoDay 2014 - QualysGuard Continuous MonitoringQualysGuard InfoDay 2014 - QualysGuard Continuous Monitoring
QualysGuard InfoDay 2014 - QualysGuard Continuous MonitoringRisk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014
QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014
QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014Risk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...
QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...
QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...Risk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2012 - Malware Detection Service – Enterprise Edition
QualysGuard InfoDay 2012 - Malware Detection Service – Enterprise EditionQualysGuard InfoDay 2012 - Malware Detection Service – Enterprise Edition
QualysGuard InfoDay 2012 - Malware Detection Service – Enterprise EditionRisk Analysis Consultants, s.r.o.
 

Plus de Risk Analysis Consultants, s.r.o. (20)

Best practice v testování zranitelností
Best practice v testování zranitelnostíBest practice v testování zranitelností
Best practice v testování zranitelností
 
Shadow IT
Shadow ITShadow IT
Shadow IT
 
Představení nástroje Nuix
Představení nástroje NuixPředstavení nástroje Nuix
Představení nástroje Nuix
 
FTK5 - HW požadavky a instalace
FTK5 - HW požadavky a instalaceFTK5 - HW požadavky a instalace
FTK5 - HW požadavky a instalace
 
Použití EnCase EnScript
Použití EnCase EnScriptPoužití EnCase EnScript
Použití EnCase EnScript
 
RAC DEAS - Univerzální SW nástroj k zajištění digitálních stop
RAC DEAS - Univerzální SW nástroj k zajištění digitálních stopRAC DEAS - Univerzální SW nástroj k zajištění digitálních stop
RAC DEAS - Univerzální SW nástroj k zajištění digitálních stop
 
RAC DEAT - Univerální HW nástroje pro zajištění digitálních stop
RAC DEAT - Univerální HW nástroje pro zajištění digitálních stopRAC DEAT - Univerální HW nástroje pro zajištění digitálních stop
RAC DEAT - Univerální HW nástroje pro zajištění digitálních stop
 
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...
 
QualysGuard InfoDay 2014 - QualysGuard Continuous Monitoring
QualysGuard InfoDay 2014 - QualysGuard Continuous MonitoringQualysGuard InfoDay 2014 - QualysGuard Continuous Monitoring
QualysGuard InfoDay 2014 - QualysGuard Continuous Monitoring
 
QualysGuard InfoDay 2014 - Asset management
QualysGuard InfoDay 2014 - Asset managementQualysGuard InfoDay 2014 - Asset management
QualysGuard InfoDay 2014 - Asset management
 
Použití hashsetů v EnCase Forensic v7
Použití hashsetů v EnCase Forensic v7Použití hashsetů v EnCase Forensic v7
Použití hashsetů v EnCase Forensic v7
 
Analýza elektronické pošty v EnCase Forensic v7
Analýza elektronické pošty v EnCase Forensic v7Analýza elektronické pošty v EnCase Forensic v7
Analýza elektronické pošty v EnCase Forensic v7
 
Vybrané funkce Forensic Toolkit 5 + RAC Forensic Imager
Vybrané funkce Forensic Toolkit 5 + RAC Forensic ImagerVybrané funkce Forensic Toolkit 5 + RAC Forensic Imager
Vybrané funkce Forensic Toolkit 5 + RAC Forensic Imager
 
QualysGuard InfoDay 2013 - Web Application Firewall
QualysGuard InfoDay 2013 - Web Application FirewallQualysGuard InfoDay 2013 - Web Application Firewall
QualysGuard InfoDay 2013 - Web Application Firewall
 
QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014
QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014
QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014
 
QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...
QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...
QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...
 
QualysGuard InfoDay 2012 - Secure Digital Vault for Qualys
QualysGuard InfoDay 2012 - Secure Digital Vault for QualysQualysGuard InfoDay 2012 - Secure Digital Vault for Qualys
QualysGuard InfoDay 2012 - Secure Digital Vault for Qualys
 
QualysGuard InfoDay 2012 - Malware Detection Service – Enterprise Edition
QualysGuard InfoDay 2012 - Malware Detection Service – Enterprise EditionQualysGuard InfoDay 2012 - Malware Detection Service – Enterprise Edition
QualysGuard InfoDay 2012 - Malware Detection Service – Enterprise Edition
 
QualysGuard InfoDay 2012 - QualysGuard Suite 7.0
QualysGuard InfoDay 2012 - QualysGuard Suite 7.0QualysGuard InfoDay 2012 - QualysGuard Suite 7.0
QualysGuard InfoDay 2012 - QualysGuard Suite 7.0
 
QualysGuard InfoDay 2012 - SSL LABS
QualysGuard InfoDay 2012 - SSL LABSQualysGuard InfoDay 2012 - SSL LABS
QualysGuard InfoDay 2012 - SSL LABS
 

QualysGuard InfoDay 2012 - Web Application Scanning

  • 1. Risk Analysis Consultants www.rac.cz V060420 Web Application Scanning RAC QualysGuard InfoDay 2012 1
  • 2. Webová aplikace Co to je webová aplikace Aplikace klient x server založená převážně na HTML protokolu www.rac.cz Logika převážně založena na relační databázi (Oracle, MS SQL, MySQL) a skriptovacím jazyku (PHP, ASP, .NET, Java) Risk Analysis Consultants Každá aplikace je jiná a jedinečná V060420 RAC QualysGuard InfoDay 2012 2
  • 3. QG WAS 2.X Nová verze WAS 2.0 Od Q4 2011 www.rac.cz Současná verze 2.3, postupná drobná vylepšení Základní vlastnosti Risk Analysis Consultants SaaS based delivery to get up and running quickly and efficiently Scanning that is scalable to thousands of applications Highly automated to reduce resource requirements Automated dynamic application scanning Authenticated and non-authenticated scanning Intelligent web app crawler and scanner V060420 Updated constantly (11 Engine releases since 2010) Deployed in minutes using external and internal scanners Scanner training or expertise not needed Reports available upon scan completion RAC QualysGuard InfoDay 2012
  • 4. QG WAS – co testuje ? Všeobecné informace o webové aplikaci Struktura webové aplikace www.rac.cz Odkazy na externí weby, vadné odkazy, seznam emailů Vlastnosti Session, Cookies, formulářů Risk Analysis Consultants Zranitelnosti SQL Injection Způsobeno nedostatečnou validací vstupů Umožňuje získat data z databáze nebo obejít přístupová práva aplikace Zranitelnosti XSS Cross-site scripting Způsobeno nedostatečnou validací vstupů Umožňují podvrhnout část obsahu webu Další zranitelnosti V060420 Stránky generující chybová hlášení Soubory, adresáře, výpisy adresářů RAC QualysGuard InfoDay 2012
  • 5. Funkce pro katalogizaci web aplikací Možnost využití Využití výsledků scanování, import do katalogu www.rac.cz Vytváření katalogu všech web aplikací (http, https, další porty) Schvalovací proces, obdoba jako u mapování Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 5
  • 6. Risk Analysis Consultants www.rac.cz V060420 Průvodce pro konfiguraci RAC QualysGuard InfoDay 2012 6
  • 7. Risk Analysis Consultants www.rac.cz V060420 Průvodce pro autentizaci RAC QualysGuard InfoDay 2011 7
  • 8. Formulářové přihlašování - popis Formulářové přihlašování Používá většina webů www.rac.cz Přihlašovací formulář je vytvořen vývojářem, přihlašovací proměnné jsou různé Risk Analysis Consultants Při přihlašování použity často další skryté parametry, např. cookies Není úplně triviální zjistit typ autentizace V060420 RAC QualysGuard InfoDay 2011 8
  • 9. Autentizace - podpora pro selenium IDE Formulářové přihlašování Usnadňuje autentizaci www.rac.cz Od verze WAS 2.1 Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2011 9
  • 10. Autentizace - podpora pro client certifikáty Formulářové přihlašování Od verze WAS 2.1 www.rac.cz Usnadňuje autentizaci u specifických webů Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 10
  • 11. Crawling Přesná specifikace cíle testování White list, Black List, Explicit URL, POST Data Black List www.rac.cz Od verze WAS 2.3 – podpora selenium IDE pro definici přístupu Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 11
  • 12. Dynamické tagování Novinka ve specifikace aktiv Bude postupně zavedena ve všech modulech (VM, PC) www.rac.cz Nahradí ne příliš pružné rozdělení aktiv do Assets group Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 12
  • 13. Discovery scan Nevyhledává zranitelnosti Pouze prochází strukturu www.rac.cz V reportu „modré“ informace , slouží hlavně k ladění Risk Analysis Consultants V060420 RAC QualysGuard InfoDay 2012 13
  • 14. Risk Analysis Consultants www.rac.cz V060420 Interaktivní reporty RAC QualysGuard InfoDay 2012 14
  • 15. Risk Analysis Consultants V060420 www.rac.cz Reporty RAC QualysGuard InfoDay 2012 15
  • 16. WAS – souhrn změn WAS 2.0 2011 New UI, WSDL Fuzzing, XHR Security Origin www.rac.cz WAS 2.1 Nov 17 2011 Selenium Authentication, Client Certificates, Additional Links Risk Analysis Consultants (static pages), “API Framework“ WAS 2.2 Jan 2012 New HTML5 detections (engine), API Useable, XHR Testing, Report Enhancements WAS 2.3 Apr 2012 Selenium input and Improved Web Application setting (crawling) , New Enumeration, UI Facelift, Finalized API, More Detections V060420 RAC QualysGuard InfoDay 2012 16

Notes de l'éditeur

  1. (c) 2007 Risk Analysis Consultants / SmithNovak
  2. (c) 2007 Risk Analysis Consultants / SmithNovak
  3. (c) 2007 Risk Analysis Consultants / SmithNovak
  4. (c) 2007 Risk Analysis Consultants / SmithNovak