Download DYNAMIC ANALYSIS SECURITY TESTING SEGURIDAD COMO

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
Document related concepts

Microsoft SQL Server wikipedia , lookup

Transcript 
DYNAMIC ANALYSIS SECURITY
TESTING
(DAST)
SEGURIDAD COMO TAREA
DE TESTING
DAST
IAST
SAST
Análisis
Dinámico
Análisis
Interactivo
Análisis
Estático
DAST
SAST
IAST
Ventajas
• Se ejecuta con la aplicación corriendo.
• No se tiene acceso al código, vemos lo mismo que el usuario.
• Pruebas fáciles de integrar.
• Flexible y escalable.
• Eficaz y eficiente.
*Testing Exploratorio.
Objetivos
• Formularios que interactúan con nuestros inputs.
Login, Contacto, Registro, etc...
• Formularios GET.
www.WebMail.com/eliminarUsuario.php?id=1
www.WebMail.com/resetUsuario.php?usuario=rodrigo@mail.com=rb@mail.com
• Archivos
Acceso a archivos no autorizados
Actividad
Manual de uso
Formulario de Login:
- Inicio de Sesión
- Registro
- Baja
Formulario de
contacto
URL: http://www.its.com.uy/TestingUY/indexTaller.php
WIFI: PASS: -
Registro - Descripción:
45 min.
Ubicación:
Posible Solución:
1
Se puede obtener una lista de usuarios.
1. El usuario existe en la base de datos
Acceso no autorizado 2
2. Campos vulnerables a inyecciones SQL
1. El usuario existe en la base de datos
2. Campos vulnerables a inyecciones SQL
Dar de baja a otro usuario 3
XSS: Cross-site scripting Persistente 4
Base de Datos de la Página
TEST:
<h1>test</h1>
Registrar
Login
TEST:
<script>alert()
Acceso no deseado a archivos 5
site:www.testing.uy filetype:pdf
Phishing/Spam 6
Conclusión:
• Se adapta a las tareas de testing fácilmente.
• Análisis orientado a detectar amenazas externas.
• Herramientas como complemento.
• Detectamos bugs de seguridad.
Consultas?
Contacto:
mail:
rbarbosa@its.com.uy
linkedIn: https://uy.linkedin.com/in/rbarbosait
Related documents
1395: Aplicación para la gestión de un sistema de incidencias de un
1395: Aplicación para la gestión de un sistema de incidencias de un
Hacia un arquitectura de buenas prácticas de seguridad para
Hacia un arquitectura de buenas prácticas de seguridad para
tesis de grado ingeniero en sistemas informáticos
tesis de grado ingeniero en sistemas informáticos
Get cached
Get cached
Tesis.SIATP.Final_V0..
Tesis.SIATP.Final_V0..
La capa de presentación de la arquitectura Java EE - OCW
La capa de presentación de la arquitectura Java EE - OCW
6 - Untis 2017
6 - Untis 2017
Bases de Datos
Bases de Datos
Herramienta de análisis estático de código para encontrar
Herramienta de análisis estático de código para encontrar
1 ESTUDIO Y DESCRIPCIÓN DE LA ARQUITECTURA JAVA EE Y
1 ESTUDIO Y DESCRIPCIÓN DE LA ARQUITECTURA JAVA EE Y
Aplicación de Mensajería instantánea Android
Aplicación de Mensajería instantánea Android