De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Hoeveel aandacht besteed jij aan security testing? 1 Security is always excessive until it's not enough.

GepubliceerdJohan Aerts Laatst gewijzigd meer dan 8 jaar geleden

Verwante presentaties

Presentatie over: "Hoeveel aandacht besteed jij aan security testing? 1 Security is always excessive until it's not enough."— Transcript van de presentatie:

1 Hoeveel aandacht besteed jij aan security testing? 1 Security is always excessive until it's not enough

2 Intro 2

3 ●Informatieveiligheid assessment. ●Black box vs White box ●Bestaat uit verschillende onderdelen o Informatie winnen o Scannen o Controle configuraties o Authenticatie o Authorisatie o Controle session management o Data validatie en sanitatie o Foutafhandeling Wat is een pentest? 3

4 Penetratietesten 4

5 Reconniassance 5

6 Social Engineering 6 ●Non tech hacking o Tail bagging o (Spear)Fishing o Whaling o Dumpster diving o Etc. “Amateurs hack systems, professionals hack people”

7 Social Engineering 7

8 Scanning 8 How not to scan! ●Eerste stap voor de laptops : ●Scan op : ●http://www.123cybersecurity.nl/poort-scan/http://www.123cybersecurity.nl/poort-scan/

9 TLS/SSL configuratie 9

10 OWASP ZAP

11 Visit ‘www.kza.nl’ in browser Check history in ZAP

12 Select the first request Select ‘request’ to see the request Select ‘response’ to see the response

13 HTTP Request Source: safaribooksonline.com

14 The HTTP Response Status, header and data HTTP Response headers: Content-type Expires Last-Modified WWW-Authenticate Set-Cookie Etc. Content types: text/html Image/gif application/word etc. Encoding MIME, readable text, byte stream etc. Source: safaribooksonline.com

15 Intercept a request Enable intercept in ZAP Click on ‘home’ in browser Check ‘Break’ tab in ZAP Click ‘ ’ to send request

16 Scope Useful to 1) only show sites of interest 2) scope additional tools in ZAP Go to ‘Sites’ Right-click on ‘http://www.kza.nl’ Select ‘Add to scope’

17 ZAP - SCANNER

18

19 Authenticatie 19

20 Authorisatie 20 Authenticatie:Ben je wie je zegt dat je bent? Authorisatie:Heb je toegang/rechten om te zien wat je ziet? URL Tampering

21 ●Cookiemanager+ Sessiebeheer 21

22 Session management basics request credentials response

23 … and his ticket is being sent to Alice Alice wants to access an application but has no credentials When Alice sends the ticket of Ted to the webserver she is automatically authenticated … … and she can access the application with the same authorizations as Ted Session hijacking Alice Ted Vulnerable application Malicious User Trusted User Alice knows Ted is logged into the application So she creates a malicious script … … disguises it as something interesting … … and sends it to Ted When Ted opens the interesting link, the script becomes active …

24 ●Hoe forceer je een foutmelding? o Doe wat geks! Foutafhandeling 24

25 Data validatie en sanitatie 25 Data validatie ●SQL injectie ●XSS ●Bestandsupload o Upload een virus! o Download het EICAR test-virus van de volgende website: http://www.eicar.org/download/eicar.com.txt http://www.eicar.org/download/eicar.com.txt o Wijzig het bestand in eicar.exe en upload het

26 SQL Injectie: Hoe te testen Voeg stuurkarakters toe aan input en let op foutmeldingen SQL: ‘ ` | ; “ / \ OS Injection: | + / ? \ Probeer bekende aanvalspatronen SQL: ‘ AND ‘1’=‘1’ -- vergelijken met ‘ AND ‘1’=‘2’ -- OS Injection: |dir of |ls Email injection: voeg ; toe aan einde email adres Test cases Foutmeldingen Afwijkende resultaten Langere responstijden Waar op te letten

27 XSS: Hoe te testen Probeer HTML injectie eerst Verschil tussen test en test Controleer source in browser waar veld terecht komt Let op afsluittekens zoals “ of “> Let op afsluitblokken zoals Pas testgevallen aan Test cases Veranderingen in de layout Afwijkende opmaak (bold tekst) Afwijkende of extra blokken) Popups (bij testgevallen met alert() input) Waar op te letten

28 Recap 28 ●Penetratie testen voor applicaties ●Awareness workshops ( Testers, Ontwikkelaar, Gebruikers) ●Securitybeleid implementaties ●Voor al uw security vraagstukken

29 Recap 29 ●Recap o Informatie winnen o Scannen o Controle configuraties o Authenticatie o Authorisatie o Controle session management o Data validatie en sanitatie o Foutafhandeling

30 30

Download ppt "Hoeveel aandacht besteed jij aan security testing? 1 Security is always excessive until it's not enough."

Verwante presentaties

SharePoint denk in blokken Ton Stegeman.

SharePoint denk in blokken Ton Stegeman.
Unleash your productivity with Startup TOOLS today •Configuratie voor de PTC product ontwikkeling omgeving, •Applicaties voor een gecentraliseerd, grafisch.

Unleash your productivity with Startup TOOLS today •Configuratie voor de PTC product ontwikkeling omgeving, •Applicaties voor een gecentraliseerd, grafisch.
I love you.

I love you.
Een dag uit het leven van Plotseling Waar je als Lord al niet druk mee kunt zijn …

Een dag uit het leven van Plotseling Waar je als Lord al niet druk mee kunt zijn …
Requirements -People are able to make their own memorial page, called a memori -The website will be build first in Dutch for extension.nl, then copied.

Requirements -People are able to make their own memorial page, called a memori -The website will be build first in Dutch for extension.nl, then copied.
Drupal Security Awareness (2). Disclaimer De informatie in deze cursus is bedoeld om veiligere Drupal websites te bouwen, niet om andere Drupal websites.

Drupal Security Awareness (2). Disclaimer De informatie in deze cursus is bedoeld om veiligere Drupal websites te bouwen, niet om andere Drupal websites.
Samenwerking met MOSS 2007! Chris Hoppenbrouwers.

Samenwerking met MOSS 2007! Chris Hoppenbrouwers.
Byte && Security ir. Willem de Groot Elmina Fortress, Ghana Slechts 10 Slides !

Byte && Security ir. Willem de Groot Elmina Fortress, Ghana Slechts 10 Slides !
Blok 7: netwerken Les 8 Christian Bokhove.

Blok 7: netwerken Les 8 Christian Bokhove.
PROJECTCOMPETENCE MANAGEMENT SCREENCompetenciesEdit1 DESCRIPTIONCompetencies in the “Competentie beheer” is a link to the editwizard for competencies.

PROJECTCOMPETENCE MANAGEMENT SCREENCompetenciesEdit1 DESCRIPTIONCompetencies in the “Competentie beheer” is a link to the editwizard for competencies.
SQL injections en meer... PERU. web application vulnerabilities Cross Site Scripting (21.5%) SQL Injection (14%) PHP includes (9.5%) Buffer overflows.

SQL injections en meer... PERU. web application vulnerabilities Cross Site Scripting (21.5%) SQL Injection (14%) PHP includes (9.5%) Buffer overflows.
User Centred Development

User Centred Development
HOM - COM Ledenvergadering 08 / 10 / 2010. Soluto bootversneller Link software: Link naar filmke:

HOM - COM Ledenvergadering 08 / 10 / Soluto bootversneller Link software: Link naar filmke:
Workshop PHP Een productencatalogus Met database.

Workshop PHP Een productencatalogus Met database.
Deltion College Engels C1 Luisteren [Edu/001] thema: It’s on tv can-do : kan zonder al te veel inspanning tv-programma’s begrijpen.

Deltion College Engels C1 Luisteren [Edu/001] thema: It’s on tv can-do : kan zonder al te veel inspanning tv-programma’s begrijpen.
Deltion College Engels B2 Gesprekken voeren [Edu/006]/subvaardigheid schrijven notulen en kort voorstel thema: ‘What shall we do about non- active group.

Deltion College Engels B2 Gesprekken voeren [Edu/006]/subvaardigheid schrijven notulen en kort voorstel thema: ‘What shall we do about non- active group.
MVC in de praktijk Jeroen Swart.NET architect, Quintor

MVC in de praktijk Jeroen Swart.NET architect, Quintor
‘WAIT FOR ME’ Lees met elkaar de songtekst Klik door naar volgende scherm.

‘WAIT FOR ME’ Lees met elkaar de songtekst Klik door naar volgende scherm.
Deltion College Engels B1 Gesprekken voeren [Edu/006] thema: Look, it says ‘No smoking’… can-do : kan minder routinematige zaken regelen © Anne Beeker.

Deltion College Engels B1 Gesprekken voeren [Edu/006] thema: Look, it says ‘No smoking’… can-do : kan minder routinematige zaken regelen © Anne Beeker.
Deltion College Engels

Deltion College Engels

Verwante presentaties

Ads door Google