Скачать презентацию WATOBO The Web Application Toolbox Andreas Schmidt OWASP Скачать презентацию WATOBO The Web Application Toolbox Andreas Schmidt OWASP

fccf3d59530331c164f9386d901f6d16.ppt

  • Количество слайдов: 38

WATOBO The Web Application Toolbox Andreas Schmidt OWASP SIBERAS http: //www. siberas. de 20. WATOBO The Web Application Toolbox Andreas Schmidt OWASP SIBERAS http: //www. siberas. de 20. 10. 2010 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http: //www. owasp. org

Bio <Andreas Schmidt 4 Seit 1998 im Security-Bereich tätig 4 Seit 2001 spezialisiert auf Bio

Agenda <(Markt-)Überblick <Motivation <Hauptkomponenten <Highlights <Road. Map <Demo: WATOBO in action OWASP Agenda <(Markt-)Überblick

Überblick <Kommerzielle Tools 4 Web. Inspect, App. Scan, NTOSpider, Acunetix, . . 4 Primär Überblick

Motivation <Warum noch ein Tool? OWASP 5 Motivation

Motivation <Kosten/Nutzen-Verhältnis von (kommerziellen) automatisierten Tools zu hoch! 4 Typische Nachteile vollautomatisierter Tools, z. Motivation

Motivation <Fehlende Transparenz bei kommerziellen Scannern 4 Check-Methoden werden meist „geheim“ gehalten 4 Zuviel Motivation

Motivation <Manuelle Tools besitzen meist kein Session. Management 4 Erneutes Einloggen notwendig 4 Mühsames Motivation

Motivation <Manuelle Tools haben oft nur begrenzte automatisierte Funktionen 4 Ausnahme: Burp. Suite Pro Motivation

OWASP 10 OWASP 10

Ansatz: Vorteile beider „Welten“ <Fokus: semi-automatisierte Penetrationstests <Session-Managment <Proxy-basiertes Tool <Web-Testing-Framework 4 typische Funktionen, Ansatz: Vorteile beider „Welten“

Zielgruppe <Primär für professionelle Pentester! 4 Idealerweise mit Ruby-Kenntnissen <Aber auch für Entwickler, Admins, Zielgruppe

Komponentenüberblick Plugins Fuzzer GUI Project Active Checks Manual Request IProxy SCANNER Passive Checks OWASP Komponentenüberblick Plugins Fuzzer GUI Project Active Checks Manual Request IProxy SCANNER Passive Checks OWASP 13

Komponente: GUI <GUI ist ein Muss! 4 Web-App-Analyse ohne GUI nicht möglich 4 CLI Komponente: GUI

Komponente: GUI OWASP 15 Komponente: GUI OWASP 15

Komponente: I(nterceptor/)Proxy <Klassische Proxy-Funktion <Interceptor 4 Abfangen und Manipulieren von Requests/Responses <Pass-Through 4 Server-Antwort Komponente: I(nterceptor/)Proxy

Komponente: Scanner <Multi-Threaded <Smart-Scan-Funktion 4 Reduziert Anzahl von Requests 4Ähnliche URLs werden zusammengefasst 4 Komponente: Scanner

Komponente: Scanner <Feingranulare Definition des Target-Scopes 4 Site (host: port) 4 Root-Path 4 Exclude-Patterns Komponente: Scanner

Komponente: Fuzzer <Multi-Tag <Multi-Generator <Multi-Action <Multi-Filter <. . . use the force, . . Komponente: Fuzzer

Komponente: Fuzzer OWASP 20 Komponente: Fuzzer OWASP 20

Komponente: Manual Request Editor <Automatisierter Login <Update der Session-Informationen <Request-History <Differ <Quick. Scan 4 Komponente: Manual Request Editor

Komponente: Manual Request Editor OWASP 22 Komponente: Manual Request Editor OWASP 22

Komponente: Active Checks <Werden über Scanner gesteuert <Dienen zum aktiven Testen 4 SQL-Injection 4 Komponente: Active Checks

Komponente: Active Checks Aktuelle Checkliste (13): + Dirwalker + Fileextensions + Http_methods + Domino_db Komponente: Active Checks Aktuelle Checkliste (13): + Dirwalker + Fileextensions + Http_methods + Domino_db + Lfi_simple + Jboss_basic + Its_commands + Its_service_parameter + Its_xss + Sqli_simple + Sql_boolean + Xss_simple er ig g nd un tä kl n s ic i tw en OWASP 24

Komponente: Passive Checks <Grep-Style-Checks 4 Pattern-Matching <Identifiziert Schwachstellen 4 Z. B. Cookie-Security, unverschlüsselte Anmeldung, Komponente: Passive Checks

Komponente: Passive Checks Aktuelle Checkliste (14): + Cookie_options + Cookie_xss + Detect_code + Detect_fileupload Komponente: Passive Checks Aktuelle Checkliste (14): + Cookie_options + Cookie_xss + Detect_code + Detect_fileupload + Detect_infrastructure + Dirindexing + Disclosure_emails + Disclosure_ipaddr + Filename_as_parameter + Hotspots + Multiple_server_headers + Possible_login + Redirectionz + Redirect_url er ig g nd un tä kl n s ic i tw en OWASP 26

Komponente: Plugins <Für individuelle Tests 4 Nicht Scanner-kompatibel 4 Z. B. site-spezifische Checks, wie Komponente: Plugins

Plugin: SSL-Checker <Prüft unterstütze SSL-Ciphers 4 Mittels vollständigen HTTP-Requests OWASP 28 Plugin: SSL-Checker

Umsetzung <Ruby, . . . 4 http: //www. ruby-lang. org <FXRuby für GUI 4 Umsetzung

WATOBO Highlights <Session Management <Ruby-In-Ruby <HTML-Preview OWASP WATOBO Highlights

Highlight: Session Management <Pattern-basiert 4 Regular Expressions 4 Hash[$1]=$2 <Header und Body wird analysiert Highlight: Session Management Geschwindigkeit

Highlight: Session Management Beispiel: (PHPSESSID)=([0 -9 a-z. A-Z]*)(; |&)? OWASP 32 Highlight: Session Management Beispiel: (PHPSESSID)=([0 -9 a-z. A-Z]*)(; |&)? OWASP 32

Highlight: Ruby-in-Ruby <Mittels spezieller Tags (‚%%‘) lässt sich direkt Ruby-Code integrieren <Nützlich für die Highlight: Ruby-in-Ruby

Highlight: Ruby-in-Ruby <Manual Request Editor: Including Binary-Files OWASP Highlight: Ruby-in-Ruby

Highlight: HTML-Preview <HTML-Preview sehr hilfreich 4 Doku-Screenshots, schnelle visuelle Analyse <FXRuby besitzt kein HTML(Web. Highlight: HTML-Preview

Road-Map <CSRF-Token Handling! <Recheck-Funktion 4 KB-Diffing <Neue Module, Plugins, Parser, En-/Decoder 4 SOAP/XML <Source-Code-Unterstützung Road-Map

Road-Map <Dokumentation 4 Videos, rdoc 4 http: //watobo. sourceforge. net <Installer <Schulungen/Trainings/Workshops! OWASP Road-Map

WATOBO - Demo <http: //watobo. sourceforge. net OWASP 38 WATOBO - Demo