Hoeveel aandacht besteed jij aan security testing? 1 Security is always excessive until it's not enough.

Slides:



Advertisements
Verwante presentaties
SharePoint denk in blokken Ton Stegeman.
Advertisements

Unleash your productivity with Startup TOOLS today •Configuratie voor de PTC product ontwikkeling omgeving, •Applicaties voor een gecentraliseerd, grafisch.
I love you.
Een dag uit het leven van Plotseling Waar je als Lord al niet druk mee kunt zijn …
Requirements -People are able to make their own memorial page, called a memori -The website will be build first in Dutch for extension.nl, then copied.
Drupal Security Awareness (2). Disclaimer De informatie in deze cursus is bedoeld om veiligere Drupal websites te bouwen, niet om andere Drupal websites.
Samenwerking met MOSS 2007! Chris Hoppenbrouwers.
Byte && Security ir. Willem de Groot Elmina Fortress, Ghana Slechts 10 Slides !
Blok 7: netwerken Les 8 Christian Bokhove.
PROJECTCOMPETENCE MANAGEMENT SCREENCompetenciesEdit1 DESCRIPTIONCompetencies in the “Competentie beheer” is a link to the editwizard for competencies.
SQL injections en meer... PERU. web application vulnerabilities Cross Site Scripting (21.5%) SQL Injection (14%) PHP includes (9.5%) Buffer overflows.
User Centred Development
HOM - COM Ledenvergadering 08 / 10 / Soluto bootversneller Link software: Link naar filmke:
Workshop PHP Een productencatalogus Met database.
Deltion College Engels C1 Luisteren [Edu/001] thema: It’s on tv can-do : kan zonder al te veel inspanning tv-programma’s begrijpen.
Deltion College Engels B2 Gesprekken voeren [Edu/006]/subvaardigheid schrijven notulen en kort voorstel thema: ‘What shall we do about non- active group.
MVC in de praktijk Jeroen Swart.NET architect, Quintor
‘WAIT FOR ME’ Lees met elkaar de songtekst Klik door naar volgende scherm.
Deltion College Engels B1 Gesprekken voeren [Edu/006] thema: Look, it says ‘No smoking’… can-do : kan minder routinematige zaken regelen © Anne Beeker.
Deltion College Engels
IR pictures Hoe goed is jouw woning?. How to assess the energetic quality of a dwelling? To know = to measure But: “De spreiding in het gasverbruik van.
Deltion College Engels C1 Spreken [Edu/002] thema: A book that deserves to be read can-do : kan duidelijke, gedetailleerde samenvatting geven van een gelezen.
Wednesday, 01 April 2015 woensdag 1 april 2015 Click Klik.
Deltion College Engels B2 Lezen [Edu/003] thema: Topical News Lessons: The Onestop Magazine can-do: kan artikelen en rapporten begrijpen die gaan over.
Thursday, 02 April 2015 donderdag 2 april 2015 The Song of the Rain 4’51’’ Dans La Nuit 3’52’’ If You Go Away 3’52’’ RADIO JEFKEN 84 STOP CLICK = START.
Tuesday, 14 April 2015 dinsdag 14 april 2015 Click Klik.
Test Tender module Stap 1 Klik op het gewenste object.
Deltion College Engels B2 Lezen[Edu/001] /subvaardigheid schrijven korte samenvattingen thema: Exotic news can-do : lezen om informatie op te doen - kan.
Deltion College Engels B2 Gesprekken voeren [Edu/009] thema: ‘We’d better go to…’ can-do : kan in vertrouwde situaties actief meedoen aan discussies over.
Deltion College Engels B2 Schrijven [Edu/005] thema: Writing a hand-out can-do: kan een begrijpelijke samenvatting schrijven © Anne Beeker Alle rechten.
APP Platform Rivium, 5 maart 2013 Rik Vietsch.
Multi Media Management 2 Marcel Jansens 27 April 2011.
Deltion College Engels B1 Lezen [Edu/002] thema: But I ‘ve read it in… can-do : kan hoofdthema en belangrijkste argumenten begrijpen van eenvoudige teksten.
Deltion College Engels B2 Gesprekken voeren [Edu/007] thema: ‘With this mobile you can…’ can-do : kan op betrouwbare wijze gedetailleerde informatie doorgeven.
Behind Interactive Media. Agenda 1.Intro Content Mangement Systemen 2.Open Source 3.CMS vergelijking 4.Wordpress installeren 5.Huiswerk.
Nederlandse Organisatie voor Wetenschappelijk Onderzoek Semantic Web and Library Applications Workshop Presented by Luit Gazendam.
Kom, ga met ons mee Come, go with us. ‘Wij vertrekken nu naar het land dat de Heer ons beloofd heeft. Ga met ons mee! Je zult het goed hebben bij ons.
Facet offline installatie
W W W. N E D P O R T A L. N L Network-wide event log monitoring.
Mavo 4.  Goal(s)  Letter Puzzle  Write a letter  Check the letters  Do assignments 4A, 5A, 6A & 7 in Student Book page 50  Evaluation.
Broodje Security 18 november Vroeger Security nog geen hot topic Inbraak bleef soms lang uit.
wordPress  Het meest flexibele CMS CMS= Content Management System.
Evidence Based Werken Zo gaat dat 1 Maxime Loose Agentschap voor Overheidspersoneel
Peter Roozendaal TestNet Voorjaarsevenement 11 mei 2016.
Titeldia ENTRADA: The Impact of a TTL Change at the TLD Level Maarten Wullink| DNS-OARC Spring 2016 workshop March 31 st 2016.
License Administration Workbench Handleiding voor het consolideren van gebruikersaccounts met de License Administration Workbench Global License Auditing.
SSO demo Peter Mesker. Imprivata OneSign Platform A Converged Identity and Access Management platform that enforces secure and compliant employee access.
1 “Just to be sure” 3D scanning and reversed engineering for offshore and shipbuilding.
ET Werkoverleg Januari 2016 Jan/2016ET werkoverleg1.
Frontend Oss
Menu affiliate Businesspartner
The past simple Grammar.
Toekomende tijd: met “going to”
Processing Structured Hypermedia
Dictionary Skills!?.
Tempoquiz rekenen Als de sommen verschijnen heb je 1 minuut(tijd kun je zelf bepalen) om de antwoorden op te schrijven. Na de minuut verstreken is gaan.
Today: Chapter 2 Discuss SO 2 What to study for your test?
Amsterdam September 2017, Mirjam van Emden
Praegus B.V.. .
Utrecht Attractive and Accessible: Focus on the User
Rob Heyman and Ilse Mariën
Gebruikersbijeenkomst SOWISO
Chapter 2 What’s up? Grammar Stepping Stones 2 t/hv.
Hebben we wel meer testautomatiseerders nodig?
Flow Approvals op verschillende manieren
Tempoquiz rekenen Als de sommen verschijnen heb je 1 minuut(tijd kun je zelf bepalen) om de antwoorden op te schrijven. Na de minuut verstreken is gaan.
Van “Test Less” naar “Test Different”
Chapter 6 Sounds cool! Grammar Stepping Stones 2 t/hv.
Leerlingen zeiden: “Je MOET hem loslaten
Past simple vs present perfect
Transcript van de presentatie:

Hoeveel aandacht besteed jij aan security testing? 1 Security is always excessive until it's not enough

Intro 2

●Informatieveiligheid assessment. ●Black box vs White box ●Bestaat uit verschillende onderdelen o Informatie winnen o Scannen o Controle configuraties o Authenticatie o Authorisatie o Controle session management o Data validatie en sanitatie o Foutafhandeling Wat is een pentest? 3

Penetratietesten 4

Reconniassance 5

Social Engineering 6 ●Non tech hacking o Tail bagging o (Spear)Fishing o Whaling o Dumpster diving o Etc. “Amateurs hack systems, professionals hack people”

Social Engineering 7

Scanning 8 How not to scan! ●Eerste stap voor de laptops : ●Scan op : ●

TLS/SSL configuratie 9

OWASP ZAP

Visit ‘ in browser Check history in ZAP

Select the first request Select ‘request’ to see the request Select ‘response’ to see the response

HTTP Request Source: safaribooksonline.com

The HTTP Response Status, header and data HTTP Response headers: Content-type Expires Last-Modified WWW-Authenticate Set-Cookie Etc. Content types: text/html Image/gif application/word etc. Encoding MIME, readable text, byte stream etc. Source: safaribooksonline.com

Intercept a request Enable intercept in ZAP Click on ‘home’ in browser Check ‘Break’ tab in ZAP Click ‘ ’ to send request

Scope Useful to 1) only show sites of interest 2) scope additional tools in ZAP Go to ‘Sites’ Right-click on ‘ Select ‘Add to scope’

ZAP - SCANNER

Authenticatie 19

Authorisatie 20 Authenticatie:Ben je wie je zegt dat je bent? Authorisatie:Heb je toegang/rechten om te zien wat je ziet? URL Tampering

●Cookiemanager+ Sessiebeheer 21

Session management basics request credentials response

… and his ticket is being sent to Alice Alice wants to access an application but has no credentials When Alice sends the ticket of Ted to the webserver she is automatically authenticated … … and she can access the application with the same authorizations as Ted Session hijacking Alice Ted Vulnerable application Malicious User Trusted User Alice knows Ted is logged into the application So she creates a malicious script … … disguises it as something interesting … … and sends it to Ted When Ted opens the interesting link, the script becomes active …

●Hoe forceer je een foutmelding? o Doe wat geks! Foutafhandeling 24

Data validatie en sanitatie 25 Data validatie ●SQL injectie ●XSS ●Bestandsupload o Upload een virus! o Download het EICAR test-virus van de volgende website: o Wijzig het bestand in eicar.exe en upload het

SQL Injectie: Hoe te testen Voeg stuurkarakters toe aan input en let op foutmeldingen SQL: ‘ ` | ; “ / \ OS Injection: | + / ? \ Probeer bekende aanvalspatronen SQL: ‘ AND ‘1’=‘1’ -- vergelijken met ‘ AND ‘1’=‘2’ -- OS Injection: |dir of |ls injection: voeg ; toe aan einde adres Test cases Foutmeldingen Afwijkende resultaten Langere responstijden Waar op te letten

XSS: Hoe te testen Probeer HTML injectie eerst Verschil tussen test en test Controleer source in browser waar veld terecht komt Let op afsluittekens zoals “ of “> Let op afsluitblokken zoals Pas testgevallen aan Test cases Veranderingen in de layout Afwijkende opmaak (bold tekst) Afwijkende of extra blokken) Popups (bij testgevallen met alert() input) Waar op te letten

Recap 28 ●Penetratie testen voor applicaties ●Awareness workshops ( Testers, Ontwikkelaar, Gebruikers) ●Securitybeleid implementaties ●Voor al uw security vraagstukken

Recap 29 ●Recap o Informatie winnen o Scannen o Controle configuraties o Authenticatie o Authorisatie o Controle session management o Data validatie en sanitatie o Foutafhandeling

30