Automatizando a análise
passiva de aplicações Web
Wagner Elias, CTO
Conviso Application Security
OWASP
AppSec Latam
Copyright © The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document
under the terms of the OWASP License.
The OWASP Foundation
http://www.owasp.org
Por que automatizar?
Nivelar
Conhecimento
da equipe de
testes
Garantir o
mínimo de
cobertura em
testes manuais
OWASP
Análise Passiva
O Testador irá navegar
na aplicação, entender
o contexto das
requisições
Quando realizado por
um profissional com
expertise em testes é
mais efetiva que uma
análise ativa
OWASP
Desafios
Uma aplicação gera um
número grande de
requisições o que torna
o processo lento e
custoso
A qualidade da análise
depende completamente
do skill do testador
OWASP
Muitos Mbs de dados
NOT
OWASP
Proposta
Automatizar parte
do processo de
análise através do
parser de log do
proxy
Extrair informações
que o testador deve
analisar,
aumentando a
cobertura da análise
OWASP
WebFight
Realiza o parser do log
do Burp
Análisa todo o
cabeçalho HTTP e
conteúdo das respostas
extraindo informações
para análise
http://code.google.com/p/webfight/
OWASP
Fluxo da Análise
Log do
Burp
Parser do
Log
Triagem das
Requisições
Carrega os
Módulos de
Análise
Módulos de Análise
Gera o relatório
na interface de
análise
JS
DOM
Flash
Session
cache
JSON
Finger
print
Etc…
OWASP
Command Line Rules
Log do Burp
Escopo
Workspace
OWASP
Principais Análises
Apresenta todas as requests que precisam
passar por testes fuzzing
Filtro em funções potencialmente vulneráveis
em JS
Identifica, realiza o download, decompila e
apresenta o AS de arquivos SWF filtrando
funções potencialmente vulneráveis
Filtro de objetos DOM
Possibilidade de criação customizada de filtros
que ajudam a análise através do relatório
OWASP
Interface de Análise
OWASP
Talk is cheap show me the code
DEMO
OWASP
Breve no repositório de código
Módulo de Taint
Analysis
Módulo de
análise de
configuração e
implementação
de SSL/TLS
Melhorias na
interface de
análise
OWASP
Perguntas?
OWASP
Obrigado
Wagner Elias, CTO
Conviso Application Security
OWASP
Download
  1. No category

OWASP Plan

D p f - owasp

D p f - owasp

Media

Media

Planejamento AppSec-BR

Planejamento AppSec-BR

OWASP - bYTEBoss

OWASP - bYTEBoss

OWASP Estado do Projeto

OWASP Estado do Projeto

Media:OWASP_BSB_ModSecurity_Klaubert

Media:OWASP_BSB_ModSecurity_Klaubert

OWASP Estado do Projeto

OWASP Estado do Projeto

Baseline Fábrica de Software e Desenvolvimento

Baseline Fábrica de Software e Desenvolvimento

OWASP Top 10

OWASP Top 10

As 10 vulnerabilidades de segurança mais críticas em

As 10 vulnerabilidades de segurança mais críticas em

Slide 1

Slide 1

Segurança em Redes

Segurança em Redes

select - owasp

select - owasp

3, a 3 - Achei o X!

3, a 3 - Achei o X!

O Fluxo de Testes - Sefaz-AL

O Fluxo de Testes - Sefaz-AL

jj - Achei o X!

jj - Achei o X!

Biblioteca OWASP ESAPI

Biblioteca OWASP ESAPI