Оцените презентацию от 1 до 5 баллов!
Тип файла:
ppt / pptx (powerpoint)
Всего слайдов:
12 слайдов
Для класса:
1,2,3,4,5,6,7,8,9,10,11
Размер файла:
96.63 kB
Просмотров:
161
Скачиваний:
0
Автор:
неизвестен
Слайды и текст к этой презентации:
№1 слайд![Тестирование безопасности](/documents_6/a849d785efe75c173fe10e0b4bfa4d65/img0.jpg)
Содержание слайда: Тестирование безопасности
№2 слайд![План лекции Введение.](/documents_6/a849d785efe75c173fe10e0b4bfa4d65/img1.jpg)
Содержание слайда: План лекции
Введение.
Принципы безопасности ПО.
Что проверять?
Виды уязвимостей.
Как тестировать ПО на безопасность.
Инструменты.
№3 слайд![Тестирование безопасности -](/documents_6/a849d785efe75c173fe10e0b4bfa4d65/img2.jpg)
Содержание слайда: Тестирование безопасности - это стратегия тестирования, используемая для проверки безопасности системы, а также для анализа рисков, связанных с обеспечением целостного подхода к защите приложения, атак хакеров, вирусов, несанкционированного доступа к конфиденциальным данным.
Тестирование безопасности - это стратегия тестирования, используемая для проверки безопасности системы, а также для анализа рисков, связанных с обеспечением целостного подхода к защите приложения, атак хакеров, вирусов, несанкционированного доступа к конфиденциальным данным.
№4 слайд![Принципы безопасности ПО](/documents_6/a849d785efe75c173fe10e0b4bfa4d65/img3.jpg)
Содержание слайда: Принципы безопасности ПО
Конфиденциальность - это сокрытие определенных ресурсов или информации.
Целостность – состоит из двух критериев: Доверие и Повреждение и восстановление.
Доступность - требования о том, что ресурсы должны быть доступны авторизованному пользователю, внутреннему объекту или устройству.
№5 слайд![Что проверять? Контроль](/documents_6/a849d785efe75c173fe10e0b4bfa4d65/img4.jpg)
Содержание слайда: Что проверять?
Контроль доступа
Аутентификация
Валидация входных значений
Криптография
Механизмы обработки ошибок
Конфигурация сервера
Интеграция со сторонними сервисами
Проверка устойчивости к Dos/DDos атакам
№6 слайд![OWASP Open Web Application](/documents_6/a849d785efe75c173fe10e0b4bfa4d65/img5.jpg)
Содержание слайда: OWASP
Open Web Application Security Project (OWASP) — это открытый проект обеспечения безопасности веб-приложений.
https://www.owasp.org/
№7 слайд![Виды уязвимостей XSS](/documents_6/a849d785efe75c173fe10e0b4bfa4d65/img6.jpg)
Содержание слайда: Виды уязвимостей
XSS (Cross-Site Scripting) - это вид уязвимости программного обеспечения (Web приложений), при которой, на генерированной сервером странице, выполняются вредоносные скрипты, с целью атаки клиента.
XSRF / CSRF (Request Forgery) - это вид уязвимости, позволяющий использовать недостатки HTTP протокола.
Code injections (SQL, PHP, ASP и т.д.) - это вид уязвимости, при котором становится возможно осуществить запуск исполняемого кода с целью получения доступа к системным ресурсам, несанкционированного доступа к данным либо выведения системы из строя.
Server-Side Includes (SSI) Injection - это вид уязвимости, использующий вставку серверных команд в HTML код или запуск их напрямую с сервера.
Authorization Bypass - это вид уязвимости, при котором возможно получить несанкционированный доступ к учетной записи или документам другого пользователя.
№8 слайд![Как тестировать на](/documents_6/a849d785efe75c173fe10e0b4bfa4d65/img7.jpg)
Содержание слайда: Как тестировать на безопасность?
Google? А почему бы и нет?
Для проверки на XSS разместить на странице скрипт, например: <script>alert(document.cookie);</script>
Наиболее частыми CSRF атаками являются атаки использующие HTML <IMG> тэг или Javascript объект image. Наример: <img src="http://hacker_site/?command">
№9 слайд![. Code injections SQL-запрос](/documents_6/a849d785efe75c173fe10e0b4bfa4d65/img8.jpg)
Содержание слайда: 4. Code injections
SQL-запрос на сервер: SELECT Username
FROM Users
WHERE Name = 'tester'
AND Password = 'testpass';
Вводимые данные: имя ’tester’
пароль testpass' OR '1'='1
Итоговый запрос: SELECT Username
FROM Users
WHERE Name = 'tester'
AND Password = 'testpass' OR '1'='1';
№10 слайд![. Команда, которая выводит на](/documents_6/a849d785efe75c173fe10e0b4bfa4d65/img9.jpg)
Содержание слайда: 5. Команда, которая выводит на экран список файлов в OS Linux: < !--#exec cmd="ls" -->
5. Команда, которая выводит на экран список файлов в OS Linux: < !--#exec cmd="ls" -->
6. Для проверки на уязвимость Authorization Bypass попробуйте подставить вместо своего userID в адресе страницы личного профиля номер другого пользователя.
№11 слайд![Инструменты Сканеры](/documents_6/a849d785efe75c173fe10e0b4bfa4d65/img10.jpg)
Содержание слайда: Инструменты
Сканеры безопасности:
XSpider, Zenmap, Metasploit – сетевые сканеры, для тестирования уязвимостей, присущих сетевой инфраструктуре.
Acunetix Web Vulnerability Scanner, XSpider, MaxPatrol, инструментарий OWASP Live CD – специализированный набор инструментов для тестирования безопасности и логики работы web-приложения.
Ручное и полуавтоматизированное тестирование безопасности:
Intercepter-NG, WinDump, WireShark и др. – снифферы для перехвата и анализа сетевого траффика.
FireBug, Web Developer – плагины для Firefox, которые можно использовать для изменения логики работы клиентской части приложения.
Selenium-тесты для подсистемы безопасности.
№12 слайд![Tamper Data простой, быстрый](/documents_6/a849d785efe75c173fe10e0b4bfa4d65/img11.jpg)
Содержание слайда: Tamper Data – простой, быстрый и эффективный инструмент, который используется при проведении испытания на возможность проникновения в систему.
Tamper Data – простой, быстрый и эффективный инструмент, который используется при проведении испытания на возможность проникновения в систему.
SkipFish - бесплатный сканер безопасности с открытым кодом.
Wapiti выполняет сканирование методом «чёрного ящика» и вводит полезные данные, чтобы проверить, уязвим ли сценарий.
SQLMap - бесплатный сканер с открытым исходным кодом, главная задача которого автоматизированный поиск SQL уязвимостей.
RIPS — сканер предназначен для отслеживания «узких» мест, статичного кода PHP.