Soumettre la recherche
Mettre en ligne
Сергей Белов
•
0 j'aime
•
828 vues
CodeFest
Suivre
Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
Lire moins
Lire la suite
Logiciels
Signaler
Partager
Signaler
Partager
1 sur 34
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
Никита Арыков и Анастасия Лагунова
Никита Арыков и Анастасия Лагунова
CodeFest
Тимур Шевляков
Тимур Шевляков
CodeFest
Дмитрий Евдокимов
Дмитрий Евдокимов
CodeFest
Илья Кудинов
Илья Кудинов
CodeFest
Enter: code style
Enter: code style
Kamil Samigullin
Enter: legacy code
Enter: legacy code
Kamil Samigullin
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Positive Hack Days
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
Positive Hack Days
Recommandé
Никита Арыков и Анастасия Лагунова
Никита Арыков и Анастасия Лагунова
CodeFest
Тимур Шевляков
Тимур Шевляков
CodeFest
Дмитрий Евдокимов
Дмитрий Евдокимов
CodeFest
Илья Кудинов
Илья Кудинов
CodeFest
Enter: code style
Enter: code style
Kamil Samigullin
Enter: legacy code
Enter: legacy code
Kamil Samigullin
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Positive Hack Days
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
Positive Hack Days
Мифы о DevOps / Александр Титов, Иван Евтухович (Экспресс 42)
Мифы о DevOps / Александр Титов, Иван Евтухович (Экспресс 42)
Ontico
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
SQALab
Python Development process in Yandex
Python Development process in Yandex
aviatakz
Как Cluster Membership Software может помочь QA
Как Cluster Membership Software может помочь QA
SQALab
Использование анализатора кода SonarQube
Использование анализатора кода SonarQube
Positive Hack Days
C#5 What's new?
C#5 What's new?
Oleg Kulygin
Python tools for web development (Python meetup Almaty #ALAPY)
Python tools for web development (Python meetup Almaty #ALAPY)
aviatakz
Highway to Сontinuous Integration, Денис Трифонов (2GIS)
Highway to Сontinuous Integration, Денис Трифонов (2GIS)
Ontico
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
Positive Hack Days
Threads & LinkedClone. Как сократить время на развертывание продукта и подгот...
Threads & LinkedClone. Как сократить время на развертывание продукта и подгот...
SQALab
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
Positive Hack Days
непрерывная интеграция шаг к непрерывному деплою родионов игорь
непрерывная интеграция шаг к непрерывному деплою родионов игорь
drupalconf
Как подружить команду админов с N командами разработки / Денис Яковлев (2ГИС)
Как подружить команду админов с N командами разработки / Денис Яковлев (2ГИС)
Ontico
Самодиагностика сервисов на базе платформы .NET
Самодиагностика сервисов на базе платформы .NET
Andrew Gubskiy
Непрерывная интеграция - шаг к непрерывному деплойменту
Непрерывная интеграция - шаг к непрерывному деплойменту
Игорь Родионов
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
Ontico
Continuous Delivery, или волшебная кнопка для релизов по запросу, Денис Яковл...
Continuous Delivery, или волшебная кнопка для релизов по запросу, Денис Яковл...
Ontico
Непрерывная интеграция и автотесты. Сравнительный анализ инструментов
Непрерывная интеграция и автотесты. Сравнительный анализ инструментов
SQALab
Apache JMeter vs LoadRunner: на заре справедливости, сравнение инструментов н...
Apache JMeter vs LoadRunner: на заре справедливости, сравнение инструментов н...
SQALab
Ядро автоматизации под микро-сервисную архитектуру
Ядро автоматизации под микро-сервисную архитектуру
SQALab
Karim Fanadka
Karim Fanadka
CodeFest
Антон Галицын
Антон Галицын
CodeFest
Contenu connexe
Tendances
Мифы о DevOps / Александр Титов, Иван Евтухович (Экспресс 42)
Мифы о DevOps / Александр Титов, Иван Евтухович (Экспресс 42)
Ontico
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
SQALab
Python Development process in Yandex
Python Development process in Yandex
aviatakz
Как Cluster Membership Software может помочь QA
Как Cluster Membership Software может помочь QA
SQALab
Использование анализатора кода SonarQube
Использование анализатора кода SonarQube
Positive Hack Days
C#5 What's new?
C#5 What's new?
Oleg Kulygin
Python tools for web development (Python meetup Almaty #ALAPY)
Python tools for web development (Python meetup Almaty #ALAPY)
aviatakz
Highway to Сontinuous Integration, Денис Трифонов (2GIS)
Highway to Сontinuous Integration, Денис Трифонов (2GIS)
Ontico
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
Positive Hack Days
Threads & LinkedClone. Как сократить время на развертывание продукта и подгот...
Threads & LinkedClone. Как сократить время на развертывание продукта и подгот...
SQALab
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
Positive Hack Days
непрерывная интеграция шаг к непрерывному деплою родионов игорь
непрерывная интеграция шаг к непрерывному деплою родионов игорь
drupalconf
Как подружить команду админов с N командами разработки / Денис Яковлев (2ГИС)
Как подружить команду админов с N командами разработки / Денис Яковлев (2ГИС)
Ontico
Самодиагностика сервисов на базе платформы .NET
Самодиагностика сервисов на базе платформы .NET
Andrew Gubskiy
Непрерывная интеграция - шаг к непрерывному деплойменту
Непрерывная интеграция - шаг к непрерывному деплойменту
Игорь Родионов
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
Ontico
Continuous Delivery, или волшебная кнопка для релизов по запросу, Денис Яковл...
Continuous Delivery, или волшебная кнопка для релизов по запросу, Денис Яковл...
Ontico
Непрерывная интеграция и автотесты. Сравнительный анализ инструментов
Непрерывная интеграция и автотесты. Сравнительный анализ инструментов
SQALab
Apache JMeter vs LoadRunner: на заре справедливости, сравнение инструментов н...
Apache JMeter vs LoadRunner: на заре справедливости, сравнение инструментов н...
SQALab
Ядро автоматизации под микро-сервисную архитектуру
Ядро автоматизации под микро-сервисную архитектуру
SQALab
Tendances
(20)
Мифы о DevOps / Александр Титов, Иван Евтухович (Экспресс 42)
Мифы о DevOps / Александр Титов, Иван Евтухович (Экспресс 42)
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
Python Development process in Yandex
Python Development process in Yandex
Как Cluster Membership Software может помочь QA
Как Cluster Membership Software может помочь QA
Использование анализатора кода SonarQube
Использование анализатора кода SonarQube
C#5 What's new?
C#5 What's new?
Python tools for web development (Python meetup Almaty #ALAPY)
Python tools for web development (Python meetup Almaty #ALAPY)
Highway to Сontinuous Integration, Денис Трифонов (2GIS)
Highway to Сontinuous Integration, Денис Трифонов (2GIS)
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
Threads & LinkedClone. Как сократить время на развертывание продукта и подгот...
Threads & LinkedClone. Как сократить время на развертывание продукта и подгот...
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
непрерывная интеграция шаг к непрерывному деплою родионов игорь
непрерывная интеграция шаг к непрерывному деплою родионов игорь
Как подружить команду админов с N командами разработки / Денис Яковлев (2ГИС)
Как подружить команду админов с N командами разработки / Денис Яковлев (2ГИС)
Самодиагностика сервисов на базе платформы .NET
Самодиагностика сервисов на базе платформы .NET
Непрерывная интеграция - шаг к непрерывному деплойменту
Непрерывная интеграция - шаг к непрерывному деплойменту
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
Continuous Delivery, или волшебная кнопка для релизов по запросу, Денис Яковл...
Continuous Delivery, или волшебная кнопка для релизов по запросу, Денис Яковл...
Непрерывная интеграция и автотесты. Сравнительный анализ инструментов
Непрерывная интеграция и автотесты. Сравнительный анализ инструментов
Apache JMeter vs LoadRunner: на заре справедливости, сравнение инструментов н...
Apache JMeter vs LoadRunner: на заре справедливости, сравнение инструментов н...
Ядро автоматизации под микро-сервисную архитектуру
Ядро автоматизации под микро-сервисную архитектуру
En vedette
Karim Fanadka
Karim Fanadka
CodeFest
Антон Галицын
Антон Галицын
CodeFest
Kristian Karl
Kristian Karl
CodeFest
Dan Cuellar
Dan Cuellar
CodeFest
Антон Турецкий
Антон Турецкий
CodeFest
Павел Мочалкин
Павел Мочалкин
CodeFest
Ignacy Kowalczyk
Ignacy Kowalczyk
CodeFest
Максим Дорофеев
Максим Дорофеев
CodeFest
Orta Therox
Orta Therox
CodeFest
Автоматизация тестирования WEB API
Автоматизация тестирования WEB API
SQALab
Андрей Светлов
Андрей Светлов
CodeFest
Klient i jego perspektywa w modelowaniu i zarządzaniu procesami
Klient i jego perspektywa w modelowaniu i zarządzaniu procesami
Piotr Merkel
Leveraging Social Media - CVCC 03-09-2012
Leveraging Social Media - CVCC 03-09-2012
Lee Yount
White foods
White foods
PPRC AYUR
El proyecto de tesis doctoral
El proyecto de tesis doctoral
mjchirinos
Evolution
Evolution
pop_culture
Blue foods
Blue foods
PPRC AYUR
DAILY AGRI REPORT BY EPIC RESEARCH-12 NOVEMBER 2012
DAILY AGRI REPORT BY EPIC RESEARCH-12 NOVEMBER 2012
Epic Research Limited
정통2 테블릿pc
정통2 테블릿pc
인수 김
Sinonimos
Sinonimos
pompeu.parets
En vedette
(20)
Karim Fanadka
Karim Fanadka
Антон Галицын
Антон Галицын
Kristian Karl
Kristian Karl
Dan Cuellar
Dan Cuellar
Антон Турецкий
Антон Турецкий
Павел Мочалкин
Павел Мочалкин
Ignacy Kowalczyk
Ignacy Kowalczyk
Максим Дорофеев
Максим Дорофеев
Orta Therox
Orta Therox
Автоматизация тестирования WEB API
Автоматизация тестирования WEB API
Андрей Светлов
Андрей Светлов
Klient i jego perspektywa w modelowaniu i zarządzaniu procesami
Klient i jego perspektywa w modelowaniu i zarządzaniu procesami
Leveraging Social Media - CVCC 03-09-2012
Leveraging Social Media - CVCC 03-09-2012
White foods
White foods
El proyecto de tesis doctoral
El proyecto de tesis doctoral
Evolution
Evolution
Blue foods
Blue foods
DAILY AGRI REPORT BY EPIC RESEARCH-12 NOVEMBER 2012
DAILY AGRI REPORT BY EPIC RESEARCH-12 NOVEMBER 2012
정통2 테블릿pc
정통2 테블릿pc
Sinonimos
Sinonimos
Similaire à Сергей Белов
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
(Не)безопасный frontend
(Не)безопасный frontend
Sergey Belov
SecDevOps. Разработка, DevOps и безопасность.
SecDevOps. Разработка, DevOps и безопасность.
Valery Boronin
Evgeniy gulak sherif
Evgeniy gulak sherif
Meeting Point Ukraine
Serghei Iakovlev "Chaos engineering in action"
Serghei Iakovlev "Chaos engineering in action"
Fwdays
Online TechTalk “Flutter Mobile Development”
Online TechTalk “Flutter Mobile Development”
GlobalLogic Ukraine
Python-технология которую легко продавать!
Python-технология которую легко продавать!
Aleksey Nakorenko
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Maxim Avdyunin
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Визуализация взломов в собственной сети
Визуализация взломов в собственной сети
Denis Batrankov, CISSP
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
Альбина Минуллина
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Solar Security
NEX Integrator - разработка качественного программного обеспечения
NEX Integrator - разработка качественного программного обеспечения
Kateryna Odarchenko
защита Web приложений f5 cti
защита Web приложений f5 cti
CTI_analytics
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
KazHackStan
855493.pptx
855493.pptx
ssuseraf5995
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
Локализация производства продукции компании Cisco на территории России. Расши...
Локализация производства продукции компании Cisco на территории России. Расши...
Cisco Russia
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
Denis Batrankov, CISSP
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
Similaire à Сергей Белов
(20)
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
(Не)безопасный frontend
(Не)безопасный frontend
SecDevOps. Разработка, DevOps и безопасность.
SecDevOps. Разработка, DevOps и безопасность.
Evgeniy gulak sherif
Evgeniy gulak sherif
Serghei Iakovlev "Chaos engineering in action"
Serghei Iakovlev "Chaos engineering in action"
Online TechTalk “Flutter Mobile Development”
Online TechTalk “Flutter Mobile Development”
Python-технология которую легко продавать!
Python-технология которую легко продавать!
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
Визуализация взломов в собственной сети
Визуализация взломов в собственной сети
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
NEX Integrator - разработка качественного программного обеспечения
NEX Integrator - разработка качественного программного обеспечения
защита Web приложений f5 cti
защита Web приложений f5 cti
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
855493.pptx
855493.pptx
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Локализация производства продукции компании Cisco на территории России. Расши...
Локализация производства продукции компании Cisco на территории России. Расши...
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Plus de CodeFest
Alexander Graebe
Alexander Graebe
CodeFest
Никита Прокопов
Никита Прокопов
CodeFest
Денис Баталов
Денис Баталов
CodeFest
Елена Гальцина
Елена Гальцина
CodeFest
Александр Калашников
Александр Калашников
CodeFest
Ирина Иванова
Ирина Иванова
CodeFest
Marko Berković
Marko Berković
CodeFest
Денис Кортунов
Денис Кортунов
CodeFest
Александр Зимин
Александр Зимин
CodeFest
Сергей Крапивенский
Сергей Крапивенский
CodeFest
Сергей Игнатов
Сергей Игнатов
CodeFest
Николай Крапивный
Николай Крапивный
CodeFest
Alexander Graebe
Alexander Graebe
CodeFest
Вадим Смирнов
Вадим Смирнов
CodeFest
Константин Осипов
Константин Осипов
CodeFest
Raffaele Rialdi
Raffaele Rialdi
CodeFest
Максим Пугачев
Максим Пугачев
CodeFest
Rene Groeschke
Rene Groeschke
CodeFest
Иван Бондаренко
Иван Бондаренко
CodeFest
Mete Atamel
Mete Atamel
CodeFest
Plus de CodeFest
(20)
Alexander Graebe
Alexander Graebe
Никита Прокопов
Никита Прокопов
Денис Баталов
Денис Баталов
Елена Гальцина
Елена Гальцина
Александр Калашников
Александр Калашников
Ирина Иванова
Ирина Иванова
Marko Berković
Marko Berković
Денис Кортунов
Денис Кортунов
Александр Зимин
Александр Зимин
Сергей Крапивенский
Сергей Крапивенский
Сергей Игнатов
Сергей Игнатов
Николай Крапивный
Николай Крапивный
Alexander Graebe
Alexander Graebe
Вадим Смирнов
Вадим Смирнов
Константин Осипов
Константин Осипов
Raffaele Rialdi
Raffaele Rialdi
Максим Пугачев
Максим Пугачев
Rene Groeschke
Rene Groeschke
Иван Бондаренко
Иван Бондаренко
Mete Atamel
Mete Atamel
Сергей Белов
1.
Расширяем инструментарий — тулзы
пентестеров в разработке и тестировании Сергей Белов Аудитор ИБ @ Digital Security
2.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security # whoami • Исследователь информационной безопасности в Digital Security • BugHunter: Google, VK, Yandex, Digital Ocean и другие • Принимаю участие в организации DEFCON Russia и ZeroNights • Специализируюсь на безопасности клиент-серверных приложениях и веб-технологиях • Докладчик: CodeFest (2012, 2014), ZeroNights, РИТ++, CEE-SECR, FrontendConf, Hack In Paris, BlackHat USA, OWASP (RU & PL) и др.
3.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security CodeFest? • 2012 - Пентест на стероидах. Автоматизируем процесс • 2014 - BlackBox тестирование безопасности клиент-серверного API • 2016 - Расширяем инструментарий — тулзы пентестеров в разработке и тестировании
4.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security План Кейсовая структура: • Мобильные приложения • Десктопное ПО (Linux, !reverse) • Десктопное ПО (Windows !reverse) • HTTP(S)
5.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Мобильные приложения
6.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Мобильные приложения 27 марта в 16:10, секция Mobile Дмитрий Евдокимов Комбайны безопасности для iOS и Android
7.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Десктопное ПО (Linux)
8.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Десктопное ПО (Linux) Стандартные инструменты – всегда полезны: bash grep netstat tcpdump + wireshark lsof strings ... gdb / strace?... А также: AFL (American fuzzy lop)
9.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security American fuzzy lop Разработка известного сотрудника Google – Michał Zalewski Динамический анализ (fuzzing) Нужен исходный код Прост в использовании «Вкрапливает» свой код на этапе компляции (gcc / g++) Коллега при помощи AFL нашел несколько 0day в PHP 7.1-dev
10.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Давайте тоже поффазим PHP :)
11.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security afl.mp4 в студию!
12.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Tips & tricks Использование готовых тестов для мутаций Автоматический анализ крашей при помощи afl-analyze Замена сокетов на stdin: $ LD_PRELOAD="/path/to/preeny/x86_64-linux-gnu/desock.so" / afl-fuzz ... https://habrahabr.ru/post/259671/ - Быстрый security-oriented fuzzing c AFL от @kyprizel
13.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Десктопное ПО (Windows)
14.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Sysinternals Сеть - от мониторов подключений до анализаторов безопасности ресурсов. Сведения о системе - программы для просмотра и настройки использования системных ресурсов. Сервисные программы системы безопасности - программы для настройки и управления системой безопасности Процессы и потоки - программы, позволяющие заглянуть "под капот" и определить задачи, выполняемые теми или иными процессами и потребляемые ими ресурсы. Разное - Собрание разнообразных сервисных программ, в том числе заставок, средств представления и инструментов отладки. Служебные программы для работы с файлами и дисками - программы для просмотра и наблюдения за доступом к файлам и дискам и их использовани
15.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security
16.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Дебаг HTTP(S)
17.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security CSP
18.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security CSP – Firefox: security csp
19.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Промежуточные HTTP(S) прокси Burp Suite Fiddler Charles Live HTTP Headers ...
20.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Burp!
21.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Burp Proxy Server
22.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Burp Suite Модули: Перехват запросов/ответов и их редактирование «на лету» Repeater Intruder И другие Присутствует возможность писать свои модули (python / java / ruby) SSL pinning? – нужен root / jailbreak -> sslkill и подобные инструменты Есть много минусов, но не будем о них.
23.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Burp Suite Завернуть можно любое приложение: Браузер –настройки Мобильные устройства – зависит от ОС PC приложения – proxifier (windows) / proxychain (linux)
24.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security
25.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security
26.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security
27.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security
28.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Перехват HTTPS трафика instagram (iOS)
29.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Repeater / Intruder в действии
30.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Burp Suite - repeater Алгортим поиска Reflected XSS: Собираем все параметры, которые передаются на сервер Добавляем произвольную строку, легкую для поиска – 123 Добавляем в поле поиска (в ответе) Добавляем три магических символа ‘ “ >и пробуем вырваться из контекста (например, из атрибутов ) Ищем их в ответе
31.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security Burp Suite - repeater Алгортим поиска IDOR и похожих штук: Собираем все запросы и параметры, где передаются ID (например – userid) Меняем на чужой ID и проверяем результат Примеры: • Чтение чужих сообщений • Удаление / редактирование чужих данных • Выполнение других различных действий
32.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security
33.
Расширяем инструментарий —
тулзы пентестеров в разработке и тестировании © 2002—2016, Digital Security
34.
sbelov@dsec.ru @sergeybelove Digital Security в
Москве: (495) 223-07-86 Digital Security в Санкт-Петербурге: (812) 703-15-47 Тестируйте безопасность!
Télécharger maintenant