Оцените презентацию от 1 до 5 баллов!
Тип файла:
ppt / pptx (powerpoint)
Всего слайдов:
21 слайд
Для класса:
1,2,3,4,5,6,7,8,9,10,11
Размер файла:
533.50 kB
Просмотров:
52
Скачиваний:
0
Автор:
неизвестен
Слайды и текст к этой презентации:
№1 слайд
Содержание слайда: Оценка защищенности Web-приложений
Сергей Гордейчик
Positive Technologies
№2 слайд
Содержание слайда: О чем пойдет речь
Насколько уязвимы Web-приложения?
Что такое «безопасное приложение»?
Методики и подходы
Критерии качества
№3 слайд
Содержание слайда: Уязвимости Web-приложений
Мировая статистика
Mitre: более четверти уязвимостей, обнаруженных в 2006 году приходится на Web-приложения [1].
Symantec «Internet Security Threat Report»: до 70% уязвимостей, используемых злоумышленниками, связаны с Web-приложениями [2].
Web Application Security Consortiums: 70% приложений имеют проблемы с безопасностью [3].
Российская действительность
До 65% Web-приложении содержат уязвимости высокой степени риска [4].
[1] http://cwe.mitre.org/documents/vuln-trends.html
[2] http://www.symantec.com/specprog/threatreport/ent-whitepaper_symantec_internet_security_threat_report_x_09_2006.en-us.pdf
[3] http://www.webappsec.org/projects/threat/
[4] http://www.ptsecurity.ru/stat2007.asp
№4 слайд
Содержание слайда: Уязвимости Web-приложений
№5 слайд
Содержание слайда: Подходы к защите
Выработка и контроль требований по безопасности приложений учитывающих качество реализации
Элемент Secure SDLC
Крайне ресурсоемкое решение
Тяжело интегрируется во многие модели разработки
«Оценка защищенности», «тесты на проникновение» и т.д.
Уязвимости обнаруживаются после «сдачи» приложения
Зачастую уязвимости не устраняются (15% уязвимостей были обнаружены повторно)
Может быть весьма ресурсоемким решением (особенно в случае анализа кода)
Сканеры уязвимостей
Достаточно бюджетное решение
Позволяют обнаруживать до 70% уязвимостей (по отношению к Pentest)
Многие типы уязвимостей (особенно связанные с бизнес-логикой) не могут быть найдены сканером
Web Application Firewall
Бюджетное решение
Весьма «капризно» в настройке
Низкая эффективность
Качество реализации защитных механизмов «непрозрачно»
№6 слайд
Содержание слайда: «Безопасное»???
Что такое безопасное Web-приложение???
№7 слайд
Содержание слайда: «Безопасное»???
Проектирование («Фичесет»)
ГОСТ Р ИСО/МЭК 15408 (Common Criteria)
набор функций безопасности (аутентификация, аудит и т.д.)
Реализация и поддержка
OWASP top 10
http://www.owasp.org/index.php/OWASP_Top_Ten_Project
Web Security Threat Classification
http://www.webappsec.org/projects/threat/
№8 слайд
Содержание слайда: OWASP vs WSTC
OWASP top 10
http://www.owasp.org/index.php/OWASP_Top_Ten_Project
Поддерживается (последняя версия 2007 года)
Только 10 уязвимостей
Web Security Threat Classification
http://www.webappsec.org/projects/threat/
Текущая версия 1 – 2004/2004 год
Готовится к выходу 2 версия
№9 слайд
Содержание слайда: WSTC v 2.0
№10 слайд
Содержание слайда: Методы и подходы
№11 слайд
Содержание слайда: Анализ спецификации
№12 слайд
Содержание слайда: Тестирование функций
№13 слайд
Содержание слайда: Тестирование функций
№14 слайд
Содержание слайда: Fuzzing
№15 слайд
Содержание слайда: Fuzzing
№16 слайд
Содержание слайда: Анализ исходного кода
№17 слайд
Содержание слайда: Статический vs Динамический
№18 слайд
Содержание слайда: Анализ исходного кода
№19 слайд
Содержание слайда: Качество качества?
№20 слайд
Содержание слайда: Резюме
№21 слайд
Содержание слайда: Вопросы?