Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1



Vergelijkbare documenten
Deny nothing. Doubt everything.

ISSX, Experts in IT Security. Wat is een penetratietest?

Back to the Future. Marinus Kuivenhoven Sogeti

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop

Security Pentest. 18 Januari Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Factsheet SECURITY SCANNING Managed Services

Security web services

Zest Application Professionals Training &Workshops

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

WEBAPPLICATIE-SCAN. Kiezen op Afstand

Factsheet SECURITY SCANNING Managed Services

Inhoud leereenheid 2. Software vulnerabilities. Introductie 23. Leerkern 23. Terugkoppeling 26

Security Testing. Omdat elk systeem anderis

ECTS fiche. Module info. Evaluatie. Gespreide evaluatie OPLEIDING. Handelswetenschappen en bedrijfskunde HBO Informatica

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Security assessments. het voor- en natraject. David Vaartjes

Webapplication Security

5 Hackaanvallen die uw webwinkel bedreigen. Hans Bouman B2U

WEBSECURITY INFORMATICA STUDENTENWERKING. Gemaakt door Bryan De Houwer en Yuri Moens

En nu gaan leren Brenno de Winter

Poging 3: KEY001: SESID: Hiermee zijn we ingelogd als gebruiker DEMO2 :

Software Test Plan. Yannick Verschueren

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

Help! Mijn website is kwetsbaar voor SQL-injectie

Training en workshops

Plan van aanpak. 1 Inleiding. 2 Onderzoek. 3 Taken. Kwaliteitswaarborging van webapplicaties. Rachid Ben Moussa

Kies File>New>Blank Page>PHP. Je kunt eventueel nog een stylesheet koppelen. Definieer nu eerst een site! Dat betekent: Site>New Site

Installeer Apache2: Landstede februari 2009 versie 3 1 Bertil Hoentjen

INHOUDSOPGAVE Het Boekenwinkeltje Registreer.aspx Opgaven... 97

Uw bedrijf beschermd tegen cybercriminaliteit

UWV Security SSD Instructies

Factsheet Penetratietest Webapplicaties

Het Sebyde aanbod. Secure By Design

Security Testing. Mark Bergman & Jeroen van Beek Platform voor Informatie Beveiliging 17 december 2009

Secure Software Alliance

Software Test Plan. Yannick Verschueren

Security. Awareness.

Whitebox test. Projectteam 6. Project "Web Essentials" 14 april Versie 1.5.0

Installatiehandleiding Cane Webservices.nl Integratie

Welkom bij parallellijn 1 On the Move uur

Sr. Security Specialist bij SecureLabs

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Verslag Informatiebeveiliging

Factsheet Penetratietest Informatievoorziening

Zelftest Informatica-terminologie

IT Audit in een Web 2.0 Wereld

Security in onderzoek en onderwijs

Third party mededeling

IT Audit in een Web 2.0 Wereld

Keynote: Gevaren van zowel het GSM als het Wi-Fi netwerk

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

DRIVEN BY AMBITION SUCCESVOL EXACT IMPLEMENTEREN IN DE PRIVATE CLOUD

Checklist beveiliging webapplicaties

SLA level Iron Bronze Silver Gold Platinum

Waarom vraagt LinkedIn je Googlewachtwoord?

The OSI Reference Model

16. Web Station. In dit hoofdstuk komen de volgende onderwerpen aan bod:

Kennissessie Information Security

Installatiehandleiding Business Assistent

Je website (nog beter) beveiligen met HTTP-Security Headers

9. MYSQL. Daarin zien we het administratie paneel van mysql.

Waarom automatiseren?

Gratis bescherming tegen zero-days exploits

Performance Essentials

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

icafe Project Joeri Verdeyen Stefaan De Spiegeleer Ben Naim Tanfous

Uitdagingen performancetesten in een Agile omgeving Best Practices & Demo

Paphos Group Risk & Security Mobile App Security Testing

Adding value to test tooling

Adding value to test tooling

Taak Strict or Strong. Inhoud

Parasoft toepassingen

Sebyde AppScan Reseller. 7 Januari 2014

Testing University. A fool with a tool is still a fool

SWAT PRODUCT BROCHURE

Certified Ethical Hacker v9 (CEH v9)

ICT-Security. C.A. (Casper) Sneekes Sales Consultant. Tel:

Wij de werkzaamheden u het resultaat!

Installatiehandleiding Business Assistent

Factsheet Penetratietest Infrastructuur

Technische implementatie De infrastructuur rondom Transit kent de volgende rollen:

Opmerkingen kan je mailen naar: A. Kouters: A. Steijlen: Versie Datum Opmerkingen

Joomla & Security. Ing. Gertjan Oude Lohuis Byte Internet 19 november 2007

Puntjes op de I. Baris Firat

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

CONNECTIE TESTEN TOEGANG TOT HET PORTAAL VOOR KNOOPPUNTDIENSTEN. Versie 1.0 Datum December 2014 Inlichtingenbureau

Cursus Software security. Harald Vranken

HMI s ontsluiten machines naar het WEB

Kasper Hanselman De speelse geest slaat alles stuk (Lucebert)

Performance Testen bij Rabobank Nederland. TestNet Noord Testers bij de bank 21 februari 2012 Allan Beumer

Absentie Presentie Server Migratie

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?

I&I 19 november Ymke Manders, Product Manager Leren & Certificeren SLBdiensten & Slim.nl

Webtesten onder schaarste

DrICTVoip.dll v 2.1 Informatie en handleiding

Ontsluiten iprova via Internet Voorbeeld methoden

Transcriptie:

Testnet Voorjaarsevenement 05 April 2006 Hack Me, Test Me Websecurity test onmisbaar voor testanalist en testmanager Edwin van Vliet Yacht Test Expertise Center Hack me, Test me Websecurity test, onmisbaar voor testspecialist en testmanager Doelstelling Impact van niet testen van Websecurity Welke invloed heeft het op eigen testproject? Vragen Moet Websecurity testen altijd door specialist gebeuren? Is het nodig om Websecurity test vlak voor productie te laten plaatsvinden? Testen "Hack Me, Test Me" 1

Voorbeeld uit het nieuws Beveiliging geniet geen prioriteit Zaterdag 23 maart 2006, Directies van ondernemingen maken zich niet zo bezorgd over beveiliging. Zo blijkt uit een onderzoek onder bijna zevenhonderd ceo's en cio's bij bedrijven in tweeëntwintig landen. Beveiliging is op orde, want er is genoeg in geïnvesteerd. Gezond verstand of oogkleppen? Hack levert ruimt een miljoen patiëntdossiers op Zaterdag 3 september 2005, Beveiligingsexperts zijn er in geslaagd om 1,2 miljoen patiëntdossiers te achterhalen door 'in te breken' bij twee Nederlandse ziekenhuizen. Beveiligingsexperts zijn er in geslaagd toegang te krijgen tot de patiëntgegevens van 1,2 miljoen personen. De beveiligingsbedrijven ITSX, Fox-IT en Madison Gurkha konden de databases van twee ziekenhuizen binnendringen nadat de ziekenhuizen daar toestemming voor hadden gegeven. ITSX omschrijft de beveiliging van de ziekenhuizen met de kwalificatie 'MKB-niveau'. Bron: www.computable.nl Bron: www.webwereld.nl Hack levert ruimt een miljoen patiënt gegevens op Telefoonserver Interne PC s FireWall FireWall intranet Internet Electronisch Patiënten Dossier Bron: http://www.tnty.nl Testen "Hack Me, Test Me" 2

Hack me, Test me Websecurity testen, onmisbaar voor testspecialist en testmanager Agenda Wat is websecurity testen? Wat is het verschil met security testen? Hoe past websecurity in uw testproject? Hoe leer je websecurity testen? Internet Infrastructuur Index.php Index.php <HTML> <Body> </HTML> Code Data Backend systemen WWW Gebruiker Webserver Database Testen "Hack Me, Test Me" 3

Internet Infrastructuur WebSecurity vs Security Index.php <HTML> <Body> Hacked Data </HTML> Index.php Code Data Aanvaller Webserver Database Wat is Websecurity test? Functioneel testen is een onderzoek of iets correct werkt. Websecurity testen is het onderzoeken of het mogelijk is om iets incorrect te laten werken 1. Herkennen van symptomen (aanvalmogelijkheden) via HTTP URL Adresbalk; invoervelden; cookies en autorisaties. 2. Bepalen van potentiële gevolgschade Testen "Hack Me, Test Me" 4

Relatie Websecurity testen en OWASP Open groep die gericht is op het begrijpen en verbeteren van beveiliging van webapplicaties en webdiensten Honderden vrijwilligers experts wereldwijd Inclusief in Nederland http://www.owasp.org/local/netherlands.html De OWASP Top 10 Broken Access Control Unvalidated Parameters Broken Account and Session Management Cross-Site scripting (XSS) Flaws Buffer Overflows Command Injection Flaws Error Handling Problems Insecure Use of Cryptography Remote Administration Flaws Web and Application Server Misconfiguration Testen "Hack Me, Test Me" 5

Demonstratie OWASP Top 10 Broken access Control Hoe hou je een gebruiker weg van andermans informatie? www.... /polluitslag.asp?vraagid = 1810 www.... /polluitslag.asp?vraagid = 1245 Demonstratie OWASP Top 10 Unvalidated parameter Parameters die naar de webserverworden gestuurd, word niet gecontroleerd op correctheid http://... /polluitslag.asp? Antw = 1 Antw = 15... Testen "Hack Me, Test Me" 6

Demonstratie OWASP Top 10 Command Injection (1) SQL injection Is het mogelijk om commando s te geven naar achterliggende systemen? Http://...?category = 1 Code: SQL = SELECT a,b,c,d FROM products Where cat = <category > ; Demonstratie OWASP Top 10 Command Injection (1) SQL injection Is het mogelijk om commando s te geven naar achterliggende systemen? Http://...?category = 1 UNION ALL SELECT *,*,* FROM email Code: SQL = SELECT a,b,c,d FROM products Where cat = 1 UNION ALL SELECT *,*,* FROM email ; Testen "Hack Me, Test Me" 7

Demonstratie OWASP Top 10 Cross-Site scripting (XSS) flaws Is het mogelijk om programmeertaal (script) toe te voegen in een webpagina? Zoeken op Hallo Zoeken op <b><li>hallo</b> Demonstratie OWASP Top 10 Cross-Site scripting (XSS) flaws Is het mogelijk om broncode (script) toe te voegen in een webpagina? Code van een andere webserver kan worden uitgevoerd. www.... / index.asp?url= zoekwoord.asp www.... / index.asp?url= http://www... Testen "Hack Me, Test Me" 8

Demonstratie OWASP Top 10 Error handling (1) Geven foutmeldingen meer informatie over de opzet van de site? HTTP 404 HTTP 403 Directory aanwezig Demonstratie OWASP Top 10 Error handling (2) Geven foutmeldingen meer informatie over de opzet van de site? Incorrecte gebruiker Incorrect wachtwoord Testen "Hack Me, Test Me" 9

Soorten fouten BUG FLAW THREAT Security fouten, ontstaan tijdens programmeren Security fouten, ontstaan door design of architectuur Security gevolgen als gevolg van een BUG of een FLAW Aandachtspunten voor Testmanager (1) Systeem test Integratie Test Functionele Acceptatie Test Gebruikers Acceptatie Test Productie Acceptatie Test Code inspectie Systeem test Productie test 1. Code review SecuritySpecialist 2. Controle Site gerelateerde security Test Engineer 3. Penetratie test SecuritySpecialist Testen "Hack Me, Test Me" 10

Aandachtspunten voor Test engineer Iedere Test Engineer kan symptomen testen!! Websecurity testen is het onderzoeken of het mogelijk is om iets incorrect te laten werken Specialiseer: Een functionele tester kent heel goede de werking van een applicatie, de gebruikte systemen en de onderlinge verbanden. Specialiseer je op het security testen van Flaws. Juridische bescherming Tester: Wees geen hacker Werk met nadrukkelijk goedkeuring Sitebeheerder: Nieuwe wet Computercriminaliteit II (25 April 2006) beschermt sitebeheerders tegen hackers. Hoe herkent men een hacker aanval? Hoe registreert u de aanval? Geldt de bescherming ook in het land van de hacker? Testen "Hack Me, Test Me" 11

Tooling Webinspect Trainingsfaciliteiten OWASP Webgoat Testen "Hack Me, Test Me" 12

Trainingsfaciliteiten Hack Me s 1001 Hack me s www.hackthissite.org www.hackergames.net En Verder.. Boek: James A. Whittaker ISBN 0-321-36944-0 Intellectual Property of J. Whittaker and Links: Public Vuln list http://www.evuln.com Security.NL http://www.security.nl/ OWASP http://www.owasp.org OWASP testing doc OWASPTesting_PhaseOne.pdf Standaard Wachtwoorden SQL injectie http://www.cirt.net/cgi-bin/passwd.pl http://www.spidynamics.com/whitepapers/ WhitepaperSQLInjection.pdf Testen "Hack Me, Test Me" 13

YACHT Interim Professionals Bedankt voor uw aandacht Gelderlandplein 75a 1082 LV Amsterdam (020) 301 3100 Edwin.van.Vliet@yacht.nl www.yacht.nl Amsterdam, Arnhem, Breda, Diemen, Eindhoven, Groningen, Hengelo, s Hertogenbosch, Leeuwarden, Maastricht, Rotterdam, Utrecht, Voorburg, Zwolle Testen "Hack Me, Test Me" 14

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback