SlideShare une entreprise Scribd logo

Sergey Gordeychik SQADays 2008

Télécharger en tant que PPT, PDF
G
guest5b66888
Technologie
1  sur  21
Оценка защищенности Web- приложений Сергей Гордейчик Positive Technologies
О чем пойдет речь ,[object Object],[object Object],[object Object],[object Object]
Уязвимости Web- приложений ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Уязвимости Web- приложений http://www.webappsec.org/projects/statistics/
Подходы к защите ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
«Безопасное»??? ,[object Object]
«Безопасное»??? ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
OWASP vs WSTC ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
WSTC v 2.0 WSTC v 1.0 6 классов уязвимостей 24 типа атак / уязвимостей 1 Authentication 2 Authorization 3 Client-side Attacks 4 Command Execution 5 Information Disclosure 6 Logical Attacks WSTC v 2 .0 9 классов уязвимостей 3 7 типа атак / уязвимостей 1 Authentication 2 Authorization 3 Client-Side 4 Command Execution 5 Information Disclosure 6 Logical Flaws 7 Misconfiguration 8 Protocol Abuse 9 XML Attacks
Методы и подходы ,[object Object],[object Object],[object Object],[object Object]
Анализ спецификации ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Т естирование ф ункци й ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Т естирование ф ункци й ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Fuzzing ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Fuzzing ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Анализ исходного кода ,[object Object],[object Object],[object Object],[object Object],[object Object]
Статический vs Динамический ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Анализ исходного кода ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Качество качества? ,[object Object],[object Object]
Резюме ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Вопросы? ,[object Object],[object Object],[object Object]

Recommandé

Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Web Threats
Web ThreatsWeb Threats
Web ThreatsDmitry Evteev
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspectorqqlan
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиSQALab
 
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииSQALab
 
Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2rit2010
 
Типовые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияТиповые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияAdvanced monitoring
 

Recommandé

Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Web Threats
Web ThreatsWeb Threats
Web ThreatsDmitry Evteev
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspectorqqlan
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиSQALab
 
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииSQALab
 
Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2rit2010
 
Типовые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияТиповые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияAdvanced monitoring
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Barabanov_Markov it-std
Barabanov_Markov it-stdBarabanov_Markov it-std
Barabanov_Markov it-stdAlexander Barabanov
 
web apps security
web apps securityweb apps security
web apps securityCOMAQA.BY
 
Phd 2016_SSDL_GOST
Phd 2016_SSDL_GOSTPhd 2016_SSDL_GOST
Phd 2016_SSDL_GOSTAlexander Barabanov
 
очир абушинов
очир абушиновочир абушинов
очир абушиновAlexei Lupan
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиAdvanced monitoring
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)MrCoffee94
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021
СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021
СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021GoQA
 
Security & penetration testing
Security & penetration testingSecurity & penetration testing
Security & penetration testingGTestClub
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Dmitry Evteev
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеровDmitry Evteev
 
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...Badoo Development
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Complianceqqlan
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности UISGCON
 
Analitika web 2012_positive_technologies
Analitika web 2012_positive_technologiesAnalitika web 2012_positive_technologies
Analitika web 2012_positive_technologiesКомсс Файквэе
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4rit2011
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодняDmitry Evteev
 
2013 09 21 безопасность веб-приложений
2013 09 21 безопасность веб-приложений2013 09 21 безопасность веб-приложений
2013 09 21 безопасность веб-приложенийYandex
 
Sergey Kochergan - OWASP Top 10 Web Application Vulnerabilities
Sergey Kochergan - OWASP Top 10 Web Application Vulnerabilities Sergey Kochergan - OWASP Top 10 Web Application Vulnerabilities
Sergey Kochergan - OWASP Top 10 Web Application Vulnerabilities Braindev Kyiv
 
Climbing berth concept
Climbing berth conceptClimbing berth concept
Climbing berth conceptAchutha Rao
 

Contenu connexe

Tendances

Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
web apps security
web apps securityweb apps security
web apps securityCOMAQA.BY
 
очир абушинов
очир абушиновочир абушинов
очир абушиновAlexei Lupan
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиAdvanced monitoring
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)MrCoffee94
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021
СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021
СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021GoQA
 
Security & penetration testing
Security & penetration testingSecurity & penetration testing
Security & penetration testingGTestClub
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Dmitry Evteev
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеровDmitry Evteev
 
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...Badoo Development
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Complianceqqlan
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности UISGCON
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4rit2011
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодняDmitry Evteev
 

Tendances (19)

Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
 
Barabanov_Markov it-std
Barabanov_Markov it-stdBarabanov_Markov it-std
Barabanov_Markov it-std
 
web apps security
web apps securityweb apps security
web apps security
 
Phd 2016_SSDL_GOST
Phd 2016_SSDL_GOSTPhd 2016_SSDL_GOST
Phd 2016_SSDL_GOST
 
очир абушинов
очир абушиновочир абушинов
очир абушинов
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend micro
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend micro
 
СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021
СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021
СВЯТ ЛОГИН «OWASP TOP 10 2021» Online QADay 2021
 
Security & penetration testing
Security & penetration testingSecurity & penetration testing
Security & penetration testing
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеров
 
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Compliance
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
 
Analitika web 2012_positive_technologies
Analitika web 2012_positive_technologiesAnalitika web 2012_positive_technologies
Analitika web 2012_positive_technologies
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4безопасность веб приложений сегодня. дмитрий евтеев. зал 4
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
 

En vedette

2013 09 21 безопасность веб-приложений
2013 09 21 безопасность веб-приложений2013 09 21 безопасность веб-приложений
2013 09 21 безопасность веб-приложенийYandex
 
Sergey Kochergan - OWASP Top 10 Web Application Vulnerabilities
Sergey Kochergan - OWASP Top 10 Web Application Vulnerabilities Sergey Kochergan - OWASP Top 10 Web Application Vulnerabilities
Sergey Kochergan - OWASP Top 10 Web Application Vulnerabilities Braindev Kyiv
 
Climbing berth concept
Climbing berth conceptClimbing berth concept
Climbing berth conceptAchutha Rao
 
Viaje A La Nieve 2007 08
Viaje A La Nieve 2007 08Viaje A La Nieve 2007 08
Viaje A La Nieve 2007 08Alberto García
 
How to Sell Your Great American Business Story
How to Sell Your Great American Business StoryHow to Sell Your Great American Business Story
How to Sell Your Great American Business StoryDaybreak Lit
 
A Real Time Online Delphi Decision System, V 2.0: Crisis Management Support d...
A Real Time Online Delphi Decision System, V 2.0: Crisis Management Support d...A Real Time Online Delphi Decision System, V 2.0: Crisis Management Support d...
A Real Time Online Delphi Decision System, V 2.0: Crisis Management Support d...Connie White
 
Building a social media function ellefritz - social tech
Building a social media function ellefritz - social techBuilding a social media function ellefritz - social tech
Building a social media function ellefritz - social techBrian Ellefritz
 
Milton Hershey School Innovation Lab - PAIS Presentation 2015
Milton Hershey School Innovation Lab - PAIS Presentation 2015Milton Hershey School Innovation Lab - PAIS Presentation 2015
Milton Hershey School Innovation Lab - PAIS Presentation 2015Joel Crowley
 
Build a Better Mousetrap? Social Media Cultivating Emergency Management Com...
Build a Better Mousetrap? Social Media Cultivating Emergency Management Com...Build a Better Mousetrap? Social Media Cultivating Emergency Management Com...
Build a Better Mousetrap? Social Media Cultivating Emergency Management Com...Connie White
 
Mappeoppgave 2, Susanne
Mappeoppgave 2, SusanneMappeoppgave 2, Susanne
Mappeoppgave 2, Susannesusolesen
 
Networking Ecobiz RH juin 2009
Networking Ecobiz RH juin 2009Networking Ecobiz RH juin 2009
Networking Ecobiz RH juin 2009ecobiz_rh_tours
 
Eksamen 11.12.08
Eksamen 11.12.08Eksamen 11.12.08
Eksamen 11.12.08susolesen
 

En vedette (20)

2013 09 21 безопасность веб-приложений
2013 09 21 безопасность веб-приложений2013 09 21 безопасность веб-приложений
2013 09 21 безопасность веб-приложений
 
Sergey Kochergan - OWASP Top 10 Web Application Vulnerabilities
Sergey Kochergan - OWASP Top 10 Web Application Vulnerabilities Sergey Kochergan - OWASP Top 10 Web Application Vulnerabilities
Sergey Kochergan - OWASP Top 10 Web Application Vulnerabilities
 
Climbing berth concept
Climbing berth conceptClimbing berth concept
Climbing berth concept
 
Scorm Manual Eng
Scorm Manual EngScorm Manual Eng
Scorm Manual Eng
 
Viaje A La Nieve 2007 08
Viaje A La Nieve 2007 08Viaje A La Nieve 2007 08
Viaje A La Nieve 2007 08
 
How to Sell Your Great American Business Story
How to Sell Your Great American Business StoryHow to Sell Your Great American Business Story
How to Sell Your Great American Business Story
 
Nhin And Rhio
Nhin And RhioNhin And Rhio
Nhin And Rhio
 
A Real Time Online Delphi Decision System, V 2.0: Crisis Management Support d...
A Real Time Online Delphi Decision System, V 2.0: Crisis Management Support d...A Real Time Online Delphi Decision System, V 2.0: Crisis Management Support d...
A Real Time Online Delphi Decision System, V 2.0: Crisis Management Support d...
 
Building a social media function ellefritz - social tech
Building a social media function ellefritz - social techBuilding a social media function ellefritz - social tech
Building a social media function ellefritz - social tech
 
Fghdfhjkffh
FghdfhjkffhFghdfhjkffh
Fghdfhjkffh
 
Gamification
GamificationGamification
Gamification
 
Milton Hershey School Innovation Lab - PAIS Presentation 2015
Milton Hershey School Innovation Lab - PAIS Presentation 2015Milton Hershey School Innovation Lab - PAIS Presentation 2015
Milton Hershey School Innovation Lab - PAIS Presentation 2015
 
Build a Better Mousetrap? Social Media Cultivating Emergency Management Com...
Build a Better Mousetrap? Social Media Cultivating Emergency Management Com...Build a Better Mousetrap? Social Media Cultivating Emergency Management Com...
Build a Better Mousetrap? Social Media Cultivating Emergency Management Com...
 
Hiking
HikingHiking
Hiking
 
Hiking
HikingHiking
Hiking
 
Ad
AdAd
Ad
 
Mappeoppgave 2, Susanne
Mappeoppgave 2, SusanneMappeoppgave 2, Susanne
Mappeoppgave 2, Susanne
 
EHR & Healthcare
EHR & HealthcareEHR & Healthcare
EHR & Healthcare
 
Networking Ecobiz RH juin 2009
Networking Ecobiz RH juin 2009Networking Ecobiz RH juin 2009
Networking Ecobiz RH juin 2009
 
Eksamen 11.12.08
Eksamen 11.12.08Eksamen 11.12.08
Eksamen 11.12.08
 

Similaire à Sergey Gordeychik SQADays 2008

Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийDmitry Evteev
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network SecurityCisco Russia
 
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordSergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordqqlan
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковMedia Gorod
 
Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018malvvv
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)c3retc3
 
FortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложенийFortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложенийSergey Malchikov
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxssyaevents
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 

Similaire à Sergey Gordeychik SQADays 2008 (20)

Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложений
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network Security
 
Secure development
Secure developmentSecure development
Secure development
 
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordSergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real word
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
 
Безопасность
БезопасностьБезопасность
Безопасность
 
PT MIFI Labxss
PT MIFI LabxssPT MIFI Labxss
PT MIFI Labxss
 
PT MIFI Labxss
PT MIFI LabxssPT MIFI Labxss
PT MIFI Labxss
 
Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)
 
FortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложенийFortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложений
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxss
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаров
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
 

Sergey Gordeychik SQADays 2008

  • 1. Оценка защищенности Web- приложений Сергей Гордейчик Positive Technologies
  • 2.
  • 3.
  • 4. Уязвимости Web- приложений http://www.webappsec.org/projects/statistics/
  • 5.
  • 6.
  • 7.
  • 8.
  • 9. WSTC v 2.0 WSTC v 1.0 6 классов уязвимостей 24 типа атак / уязвимостей 1 Authentication 2 Authorization 3 Client-side Attacks 4 Command Execution 5 Information Disclosure 6 Logical Attacks WSTC v 2 .0 9 классов уязвимостей 3 7 типа атак / уязвимостей 1 Authentication 2 Authorization 3 Client-Side 4 Command Execution 5 Information Disclosure 6 Logical Flaws 7 Misconfiguration 8 Protocol Abuse 9 XML Attacks
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.