Безопасность

Инженер по безопасности

Роли

Пользователь
Администратор
Хакер

Пользователь

Администратор

Хакер

Что такое взломать web приложение

Получить доступ к недоступной информации
Убрать конкурента
Украсть денеги

Цель тестирования безопасности - выявить возможные слабые места приложения

Информационная безопасность

Доступность информации
Конфиденциальность информации
Целостность информации

Доступность информации

Клиент

Клиент <-> Сервер

Репликация серверов

Сервер/База данных

DoS - Denial of Service

DDoS

Нагрузочное тестирование

Тестирование слабых мест

Выяснение пределов доступности

JMeter, Yandex Танк

Пример

iframe для каждого пользователя

first_and_last_warning

Quiz

Что значит "сломать" сайт?

Что такое DDoS и почему "оно" опасно?

Как и чем тестируется доступность информации?

Целостность информации

Клиент <-> Сервер

Криптография

Алан Тьюринг (Энигма)

I love dogs

Алгоритм

Ключ1

K Nqxg Fqiu

I love dogs

Алгоритм

Ключ1

K Nqxg Fqiu

I love dogs

Алгоритм

Ключ2

K Nqxg Fqiu

Ключ1

HTTPS

WiFi сниферы

Одна картинка под http не страшна?

Cookie)))

Как тестировать?

Правило 1

Любой алгоритм можно взломать!!!

Правило 2

Равная стоимость

Конфиденциальность информации

Роли пользователей

JMeter, Yandex Танк

Что если мы все перебрали?

А что если подставить невалидные данные

SQL инекции

SQL

SELECT name FROM users WHERE name like "*vlad*" OR id=5

SELECT name FROM users WHERE name = {{login}}

SELECT name FROM users WHERE name = '' OR 1=1

http://sqlzoo.net/hack/

MongoDB это не SQL

db.users.findOne({ login: 'root' })

db.users.findOne({ login: ''}); db.users.find({'' })

Server-Side Includes

Not_a_virus.exe

Not_a_virus.php

И тут мы все протестировали)))

Дай другому пользователю сделать это)))

XSS

http://life777.github.io/CSP/index.html

CSRF/XSRF

Валера: Зацени, как я накачался: <img src="http://bank.example.com/withdraw?account=Alice&amount=1000000&for=Mallory">

Race condition

Starbucks

Куча проблем с используемыми библиотеками и технологиями

Безопасность

Инженер по безопасности

Роли

Что такое взломать web приложение

Цель тестирования безопасности - выявить возможные слабые места приложения

Информационная безопасность

Репликация серверов

Сервер/База данных

DoS - Denial of Service

Нагрузочное тестирование

Пример

Quiz

Что значит "сломать" сайт?

Что такое DDoS и почему "оно" опасно?

Криптография

I love dogs

I love dogs

I love dogs

HTTPS

WiFi сниферы

Одна картинка под http не страшна?

Cookie)))

Правило 1

Роли пользователей

JMeter, Yandex Танк

Что если мы все перебрали?

А что если подставить невалидные данные

SQL

http://sqlzoo.net/hack/

MongoDB это не SQL

Server-Side Includes

Not_a_virus.exe

Not_a_virus.php

Дай другому пользователю сделать это)))

XSS

CSRF/XSRF

Race condition

Starbucks

Куча проблем с используемыми библиотеками и технологиями

Но как же это тестировать?

http://w3af.org/

https://www.owasp.org/index.php/Main_Page

Вопросы)))

Security

More from Vladimir