Self-Made Web 2.0 Security TestingSven Großmann, Timo Pagel

Vorstellung● Sven

○ Master Student: Information Technology■ Schwerpunkt: Web-Technologien

● Timo○ Fachinformatiker (Systemintegration)○ Master Student: Information Technology

■ Schwerpunkt: IT-Sicherheit

Sicherheits Experte Geschäftsführer

Werkzeuge des White Hats

Vulnerability Scans (DAST)

Web Application Firewalls

Code Analysen (SAST)

System Härtungen

Sicherheits Schulungen

Intrusion Detection Systems

Werkzeuge des Black Hats

Web Application

SQL Injection

Cross Site Scripting

Security Misconfiguration

...

DAST

DAST-Werkzeuge● Burp (ca. 200 $)

● OWASP Zap

● w3af

● sqlmap/nosqlmap

● weitere bei sectoolmarket.com[1] http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html

DAST-Werkzeuge● Burp (ca. 200 $)

● OWASP Zap

● w3af

● sqlmap/nosqlmap

● weitere bei sectoolmarket.com[1] http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html

Ein einfacher Scan● Spider

○ Abdeckung der Seitenstruktur● Scan

○ Schwachstellen aufdecken

Produktivumgebung scannen?

FunktionsweiseProxy:

Spider/Scanner:

In Anlehnung an: https://blog.codecentric.de/files/2013/10/overview.png

Ein einfacher ScanDemo: OWASP Zap und WackoPicko

FunktionsweiseProxy:

Spider/Scanner:

AjaxSpider:

In Anlehnung an: https://blog.codecentric.de/files/2013/10/overview.png

OWASP Top Ten● A1 Injection● A2 Broken Authentication and Session Management● A3 Cross-Site Scripting (XSS)● A4 Insecure Direct Object References● A5 Security Misconfiguration● A6 Sensitive Data Exposure● A7 Missing Function Level Access Control● A8 Cross-Site Request Forgery (CSRF)● A9 Using Components with Known Vulnerabilities● A10 Unvalidated Redirects and Forwards

Quelle: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Vielen DankKontakt:

Timo Pagel: security@timo-pagel.deSven Großmann:

Bild QuellenDisney Interactive: http://www.starwars.com/