Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

41
Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania Mateusz Olejarka Agile & Automation Days, 16.11.2015

Transcript of Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

Page 1: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

Automatyzacja testów

bezpieczeństwa –

ograniczenia, wyzwania,

gotowe rozwiązania

Mateusz Olejarka

Agile & Automation Days, 16.11.2015

Page 2: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Starszy specjalista ds. bezpieczeństwa IT, SecuRing

• Ocena bezpieczeństwa aplikacji webowych i mobilnych

• Trener

• (Były) programista

• OWASP Polska

O mnie

Page 3: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Zasada działania

• Zalety i wady

• Ograniczenia

• Wyzwania

• Gotowe rozwiązania

• Podsumowanie

• Q&A

Agenda

Page 4: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

ZASADA DZIAŁANIA

Page 5: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Page 6: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Page 7: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Page 8: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

ZALETY I WADY

Page 9: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

ZALETY

Jakie znacie zalety testów automatycznych?

Page 10: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Powtarzalność

Zalety

Page 11: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Page 12: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Powtarzalność

• Wykrycie nisko wiszących owoców

Zalety

Page 13: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

WADY

Jakie znacie wady testów automatycznych?

Page 14: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• False positives

Wady

Page 15: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• False positives

• Wiedza konieczna do interpretacji wyników

Wady

Page 16: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• False positives

• Wiedza konieczna do interpretacji wyników

• Udawanie użytkownika

Wady

Page 17: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Page 18: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

OGRANICZENIA

Page 19: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Brak uwzględnienia „biznesu” aplikacji

Ograniczenia

Page 20: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Brak uwzględnienia „biznesu” aplikacji

• Część błędów dobrze znajduje się automatami a część nie

Ograniczenia

Page 21: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• % z istniejących rodzajów błędów

• Jakich? To zależy też trochę od aplikacji

Co można sensownie testować automatem?

Page 22: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

Podatności wykrywane przez skanery

Page 23: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

Podatności wykrywane przez skanery

Page 24: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Logiki biznesowej

Czego nie da się sensownie testować automatem?

Page 25: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Logiki biznesowej

• Procesów w aplikacji (coś kilkukrokowego)

Czego nie da się sensownie testować automatem?

Page 26: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Page 27: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

WYZWANIA

Page 28: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Technologia

Wyzwania

Page 29: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Technologia

• Nawigacja w aplikacji

Wyzwania

Page 30: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Technologia

• Nawigacja w aplikacji

• Sposób komunikacji, przesyłanie parametrów

Wyzwania

Page 31: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Page 32: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Technologia

• Nawigacja w aplikacji

• Sposób komunikacji, przesyłanie parametrów

• Testy kontroli dostępu do funkcji/danych

Wyzwania

Page 33: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
Page 34: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

GOTOWE ROZWIĄZANIA

Page 35: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Skanery automatyczne aplikacji WWW:

• Usługi:– WhiteHat Sentinel

– edgescan

– Acunetix

– Qualys WAS

• Narzędzia:– Subgraph Vega (darmowe !)

– w3af (darmowe !)

– IBM AppScan

Rodzaje

Page 36: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Narzędzia automatyczne dedykowane dla poszczególnych typów podatności/rozwiązań:

• Qualys SSL Server Test

• OWASP DirBuster, dirs3arch

• Nikto

• sqlmap

• WPScan

Rodzaje

Page 37: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Narzędzia półautomatyczne:

• Burp Suite

• OWASP ZAP

Rodzaje

Page 38: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

PODSUMOWANIE

Page 39: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

• Zasada działania

• Mocne i słabe strony

• Dostępne narzędzia i ich możliwości

• Czy korzystać?

Podsumowanie

Page 40: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

Q&A

Page 41: Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania

Dziękuję za uwagę,

zapraszam do kontaktu:

[email protected]


PRODUKTY GOTOWE I PRODUKCJA NIEZAKOŃCZONA

PRODUKTY GOTOWE I PRODUKCJA NIEZAKOŃCZONA

Zarządzanie informacją i automatyzacja procesów biznesowych

Zarządzanie informacją i automatyzacja procesów biznesowych

Gotowe słupki Kee Klamp

Gotowe słupki Kee Klamp

Psychometria rzetelność testów psychologicznych

Psychometria rzetelność testów psychologicznych

Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mobilnych (Android)

Przyszłość ma na imię Mobile – testowanie i automatyzacja testów aplikacji mobilnych (Android)

Automatyzacja testów oprogramowania dla urządzeń mobilnych

Automatyzacja testów oprogramowania dla urządzeń mobilnych

14 gotowe (tylko-do-odczytu)

14 gotowe (tylko-do-odczytu)

automatyzacja testów

automatyzacja testów

Subkultury na projekt gotowe

Subkultury na projekt gotowe

Gotowe arystoteles1

Gotowe arystoteles1

Automatyzacja w biznesie

Automatyzacja w biznesie

KATALOG TESTÓW, 2016

KATALOG TESTÓW, 2016

Wikpol - Automatyzacja pakowania

Wikpol - Automatyzacja pakowania

Właściwości testów diagnostycznych

Właściwości testów diagnostycznych

AUTOMATYZACJA CIĄGŁYCH PROCESÓW PRODUKCYJNYCH seminarium

AUTOMATYZACJA CIĄGŁYCH PROCESÓW PRODUKCYJNYCH seminarium

CSS. Gotowe rozwiązania

CSS. Gotowe rozwiązania

core security 2 - PASSUSskanery podatnoœci oraz systemy IT z uwzglêdnieniem aplikacji www, SIEM, DLP i GRC. sieci, stacji roboczych, podatnoœci Automatyzacja testów bezpieczeñ-

core security 2 - PASSUSskanery podatnoœci oraz systemy IT z uwzglêdnieniem aplikacji www, SIEM, DLP i GRC. sieci, stacji roboczych, podatnoœci Automatyzacja testów bezpieczeñ-

Mechanizacja i automatyzacja odlewni eksploatacja

Mechanizacja i automatyzacja odlewni eksploatacja

Automatyzacja pracy w Google Adwords

Automatyzacja pracy w Google Adwords

Automatyzacja w energetyce

Automatyzacja w energetyce