SlideShare a Scribd company logo

ibm_appscan

Reinaldo Junior
Reinaldo Junior
1 of 34
Download to read offline
Ferramenta para Testes de Segurança Autor: Reinaldo Mateus R. Junior Analista de Testes Senior Certificado IBM AppScan
• Black-Box Web application security testing. Rational AppScan Standard Edition realiza testes de Segurança em aplicações Web, para ajudar a proteger contra a ameaça de ciber-ataque com uma solução que combina a análise dinâmica, análise de JavaScript estático com a facilidade de uso.
Menu Principal do AppScan
 Identifica vulnerabilidades de aplicações Web, incluindo todas as relevantes da WASC TCv2 vulnerabilidades, como SQL- Injection, Cross-Site Scripting e buffer Overflows.  Aplica-se a análise estática com JavaScript Security Analyzer para identificar problemas de segurança do lado do cliente, tais como DOM baseado cross site scripting, injeção de código, Open Redirect, CSRF Bypass, sessão dupla, Manipulação de porta e Manipulação de Protocolo.  Detalha possíveis soluções nas principais linguagens.
 Simula invasões Reais.  A Quantidade de Testes Realizados é superior aos manuais, economizando tempo e dinheiro.  A Ferramenta prove atualização das vulnerabilidades encontradas atualmente.  É possível agendar um teste a ser realizado.
 Antes de enviar os testes específicos do site criado, Rational AppScan envia vários pedidos malformada para o aplicativo para determinar qual a resposta de erro gerada.  Rational AppScan analisa as respostas a cada solicitação que envia, à procura de qualquer indício de uma vulnerabilidade potencial.
Não Recomendado Testar em Produção, Possíveis Problemas:  Interrupção do Serviço – Como IBM AppScan Envia muita requisições para a Aplicação e no modo invasivo tenta realizar o “Denial of Service” , é bem provável que a Interrupção do Serviço ou em melhor caso a Lentidão da Aplicação para o Usuário final.  Corrupção do banco de dados de produção – O AppScan no modo “Invasive” ele tenta fazer Buffer Overflow no Banco de Dados, que é o transbordamento de dados (em inglês: buffer overflow) acontece quando o tamanho de um buffer ultrapassa sua capacidade máxima de armazenamento, em pior caso pode ocorrer problemas sérios ao banco de dados.  Servidor de Email – ao realizar o teste a ferramenta envia diversas requisições o email do administrador cadastrado, o mesmo vai receber milhares de email ou alertas, é bem provável que haja Interrupção do Serviço de Email .
 Notificar a Área de TI ou de Redes – Como o AppScan trabalha enviando requisições pela rede, poderá ocorrer alguma lentidão dos Serviços na Rede.  Desativar o Antivírus – O antivírus poderá bloquear alguns testes realizados na Aplicação, outra solução é adicionar na “Trusted Zona” do antivírus .  Realizar um Backup do Banco de Dados – O AppScan poderá mudar alguns dados ou tentar manipular variáveis do Banco de Dados, é extremamente aconselhado realizar um Backup do mesmo.  Desligar o Servidor de SMTP: Ao tentar realizar os testes em formulário de Cadastro, aonde possui envio de email, poderá acontecer o enchimento da caixa de email do administrador ou até mesmo do cliente responsável em recebê-lo.
 Não Realização testes em Paralelo: A Realização de testes em Paralelo como teste de performance e da AppScan ao mesmo tempo, poderá interferir em ambos os testes, além de pode gerar negação de serviço se o usuário estiver testando a aplicação utilizada pela Ferramenta, ou até mesmo gerar sobrecarrega da rede, assim gerando lentidão e erros em testes funcionais.  Definição de Meio Ambiente – Deve se fazer o levantamento do ambiente utilizado, Operating system scanned (suse, unix, win32 ou Not Defined )Web Server (IIs, Apache, IBM HTTP Server, etc), Application Server (ASP.NET, Oracle, Tomcat, etc), Type of Database (Oracle, MySQL, DB2), Third-Party Component (if any ex. WordPress, PostNuke, cPanel, etc), Location of Site (Local, Remote), Type of Site (Production, Test). Isso resulta em um teste mais rápido e preciso da ferramenta (no entanto não é obrigatório).
 Controle – Os relatórios gerados pela AppScan deve ser salvados diretamente no SVN ou GIT, não podendo ser enviada por email ou pendriver, fica resguardando a gerencia de configuração o acesso exclusivo as pessoas que deveram ter acesso aos relatórios, tendo assim o controle de segurança exigido pela ABNT NBR ISO/IEC 17799:2005 item 12.1.1 Análise e especificação dos requisitos de segurança.
 O computador não ter os requisitos mínimos ao realizar os testes (Rational® AppScan®, Version 8.0):  Processor Pentium P4, 2.4 GHz / Memory 2 GB RAM - Disk Space - 30 GB - Network1 NIC 100 Mbps for network communication with configured TCP/IP
 O Login Falhou – Depois de colocar a URL da Aplicação que será explorada, o segundo Passo é gravar o login da Aplicação. Numa eventual falha de Autenticação a Aplicação não realizará o teste completo, somente realizará os testes naqueles formulários que não necessita de autenticação.  Não reconhecimento das Configurações de Ambientes– Pode não gera um teste mais acurado de acordo com o ambiente testado.  Falta de Conhecimento – É necessário conhecimento na Aplicação para identificar se o teste falho não é falso positivo, também é necessário conhecimento em segurança para tentar realizar um teste manual na ferramenta, confirmando o erro encontrado, também para analisar as variáveis que foram modificadas pela ferramenta.
 Case-Sensitive Path não marcado – Não reconhece os caracteres Maiúsculos, deve permanecer marcado essa opção, com essa opção não marcada irá realizar somente os testes cuja URL não estão com letras Maiúsculas.  Insufficient Disk Space – É necessário de pelo menos 10 gb livres na maquina para executar os testes na AppScan.  Servidores e Domínios Adicionais: Se sua aplicação inclui servidores ou domínios que não sejam os da URL Inicial, AppScan pode incluí-los. Se não for adicionados, poderá realizar o escaneamento domínio inicial, não cobrindo o teste total (nos testes realizados foi necessário adicionar outro servidor).
 Proxy não Configurado: Por Padrão o AppScan usa as configurações do Internet Explorer, quando a ferramenta não consegui realizar o reconhecimento automático é necessário configurar manualmente para poder realizar os testes (nos testes do SEG foi preciso configurar o Proxy e reiniciar a ferramenta).  JavaScript Execução não habilitado: Deve se habilitar no servidor a execução do JavaScript para a realização dos testes.  Não mapeou todas as Telas: Algumas telas no processo automático podem não ser mapeadas.  Memória Virtual Baixa: Ao realizar os testes a memória virtual pode está muito baixa, aumente o limite de memória ou deixe que o sistema faça o gerenciamento.
 O número de testes que AppScan envia durante uma varredura pode chegar aos milhares. Às vezes é preferível reduzir o tempo de scan, limitando a análise a certos tipos apenas, usando a Política de teste (Test Policy), é muito necessário para limitar somente os testes que desejamos realizar e excluindo o que não é necessário no momento ou de acordo com a urgência e o tempo de teste.
 Em “Scan Configuration Wizard”, no terceiro passo de configuração, em “Test Policy”, você poderá escolhe o tipo de política que vai ser aplicada no teste, listamos todas abaixo:
Policy Name Description Default Inclui todos os testes, exceto testes invasivos e port listener tests. Application-Only Inclui todos os testes de nível de aplicativo, exceto testes invasivos e port listener tests. Infrastructure- Only Inclui todos os testes de infra-estrutura de nível, exceto testes invasivos e port listener tests. Invasive Inclui todos os testes invasivos (exames que podem afetar a estabilidade do servidor). Complete Inclui todos os testes da AppScan. Web Services Inclui todos os testes relacionados com o SOAP, exceto testes invasivos e port listener tests. The Vital Few Inclui uma seleção de testes que têm uma alta probabilidade de sucesso. Isto pode ser útil para avaliar um site quando o tempo é limitado. Developer Essentials Inclui uma seleção de testes de aplicativos que têm uma elevada probabilidade de sucesso. Isto pode ser útil para avaliar um site quando o tempo é limitado.
 Na Realização dos testes recomendo a Política de Teste “Default” por padrão, o tipo de teste default pode ser modificado na ferramenta podendo modificar as Métricas (High, Medium, Low, Informational), assim podendo assim realizar vários ciclos de correções, primeira “High”, segunda “Medium”, sucessivamente.
 Ao realizar o teste em um formulário especifico, a melhor forma é iniciar o teste com exploração manual e depois executar os testes. Quando for realizada uma criação de um novo caso de uso, ou acrescentar novas funcionalidades, não se tem a necessidade de testar todo sistema, podendo ser realizado dessa forma.
 Todos os sistemas podem ser testados pela aplicação no modo “default”, não se deve realizar os testes em modo Invasivo, a não ser quando solicitado.
 A ferramenta AppScan faz atualização automática, as atualizações de assinatura incluir novos tipos de técnicas de exploração de aplicações web e correções de bugs. É recomendado que você instale esses arquivos assim que receber a notificação de sua disponibilidade. Observação:  A atualização pode ser bloqueada pelo firewall.  Depois da atualização deve-se reiniciar a maquina.
 Ao analisar o código podemos identificar alguns falsos positivos  <ADDRESS>Oracle-Application-Server-10g/10.1.3.5.0 Oracle-HTTP- Server Server at portal1tstb.fucapi.br Port 80</ADDRESS>  O AppScan identificou como se fosse o IP do Servidor Oracle, mas na verdade é a versão do Oracle.  Obs. Deve se ocultar a versão do Oracle, numa possível descoberta de falha, um exploit poderia explorar a vulnerabilidade. Passos:  Clica no Link da ocorrência com o botão direito do mouse e selecione “set non-vulnerable”.  Vai remover a vulnerabilidade da lista.
 IBM Rational Web Services Explorer V8.0 Windows Multilingual (add-on to AppScan Standard Edition 8.0). Complemento Necessário para realizar os testes com Web Services. * baixar no site abaixo: https://www- 304.ibm.com/support/docview.wss?uid=swg21366519
 Os testes podem ser agendados para qualquer hora e data da semana, após o agendamento ele realizará de forma automática a inicialização dos testes solicitados.
 Ao terminar os Testes podemos gerar vários tipos de Relatórios, padrão da ferramenta ou padrões de Industrias especializadas, na ferramenta há várias formas de personalizar de um Relatório.
Icon Name Short Description Security Report Relatório de problemas de segurança encontrados durante a varredura. Informações de segurança pode ser muito extensa, e podem ser filtrados de acordo com suas necessidades. Seis modelos padrão estão incluídos, mas cada um pode ser facilmente adaptado para incluir ou excluir categorias de informações, conforme necessário. Industry Standard Report Relatório de conformidade (ou não-conformidade) do seu aplicativo com um comitê de indústria padronizado ex. OWASP (Open Web Application Security Project), ou você pode criar seu próprio checklist com padrões personalizados. Regulatory Compliance Report Relatório de conformidade (ou não-conformidade) de sua aplicação com uma grande variedade de regulamentos ou normas legais, ou com o seu modelo personalizado . Delta Analysis Report O relatório Análise Delta compara dois conjuntos de resultados da verificação e mostra a diferença em URLs e / ou questões de segurança descobertos. Template Based Report Relatório personalizado definidos por um template no WORD, a formatação do documento pode ser personalizada pelo usuário seguindo as regras do programa, no Microsoft Word em Formato “.doc”.
Menu Report
Podemos verificar os logs e analisar as requisições e possíveis problemas que deram ao realizar os testes.  C:Arquivos de programasIBMRational AppScanLogs
 A AppScan pode automaticamente não conseguir explorar algumas URL’s. Não realizando o teste nesses formulários.  A ferramenta AppScan por melhor que seja pode acontecer de uma nova vulnerabilidade ser encontrada e explorada, antes que a ferramenta seja atualizada.  A AppScan só cobre a camada de Aplicação, outras técnicas podem ser exploradas, em componentes de terceiros, SO, Web Server Oracle, Maquina Virtual Java, ou até mesmo bug na Linguagem.  AppScan não cobre problemas de Segurança na Arquitetura.  AppScan não cobre problemas roubo de dados por Vírus , cavalos de tróia ou Keylog na maquina do Usuário.  Se o Servidor de Licenças estiver fora é impossível a realização dos testes.
 Owasp Top 10 – 2010 › A1: Injection › A2: Cross-Site Scripting (XSS) › A3: Broken Authentication and Session Management › A4: Insecure Direct Object References › A5: Cross-Site Request Forgery (CSRF) › A6: Security Misconfiguration › A7: Insecure Cryptographic Storage › A8: Failure to Restrict URL Access › A9: Insufficient Transport Layer Protection › A10: Unvalidated Redirects and Forwards
Nos testes realizados o AppScan demonstrou ser uma ótima ferramenta para testes de segurança automatizados, é necessário conhecimento para reconhecer falsos positivos nos testes e conhecimento das vulnerabilidades para tentar reproduzir o erro de forma manual. O mesmo possui um gerador de relatórios muito bom, agendamento das atividades e formas de exploração manual e automática, a ferramenta é bem intuitiva. Um Ponto falho na ferramenta é a exploração manual não é tão boa com em outras ferramentas, mais os problemas encontrados foram solucionados pela experiência na ferramenta e em outras, o material na internet é bem escasso, mas o help da ferramenta é muito bom. A ferramenta é uma ótima aquisição, aonde só tem acrescentar as empresas.
Ferramenta para Testes Automatizados de Segurança Autor: Reinaldo Mateus R. Junior Analista de Testes Senior Certificado IBM AppScan Reinaldo.junior2@gvt.com.br

Recommended

Ibm app scan
Ibm app scanIbm app scan
Ibm app scanReinaldo Junior
 
Testes de Desempenho
Testes de DesempenhoTestes de Desempenho
Testes de DesempenhoSandy Maciel
 
Introdução aos Testes de Desempenho
Introdução aos Testes de DesempenhoIntrodução aos Testes de Desempenho
Introdução aos Testes de DesempenhoBase2 Tecnologia
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app webKleitor Franklint Correa Araujo
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Kleitor Franklint Correa Araujo
 
Trang Cao Resume
Trang Cao ResumeTrang Cao Resume
Trang Cao ResumeTrang Cao
 
Historical Restoration Contractors Florida: Historic Preservation Consultants
Historical Restoration Contractors Florida: Historic Preservation Consultants Historical Restoration Contractors Florida: Historic Preservation Consultants
Historical Restoration Contractors Florida: Historic Preservation Consultants UMKC MASONRY / LANDSCAPE / FOUNTAINS COMPANY
 

Recommended

Ibm app scan
Ibm app scanIbm app scan
Ibm app scanReinaldo Junior
 
Testes de Desempenho
Testes de DesempenhoTestes de Desempenho
Testes de DesempenhoSandy Maciel
 
Introdução aos Testes de Desempenho
Introdução aos Testes de DesempenhoIntrodução aos Testes de Desempenho
Introdução aos Testes de DesempenhoBase2 Tecnologia
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app webKleitor Franklint Correa Araujo
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Kleitor Franklint Correa Araujo
 
Trang Cao Resume
Trang Cao ResumeTrang Cao Resume
Trang Cao ResumeTrang Cao
 
Historical Restoration Contractors Florida: Historic Preservation Consultants
Historical Restoration Contractors Florida: Historic Preservation Consultants Historical Restoration Contractors Florida: Historic Preservation Consultants
Historical Restoration Contractors Florida: Historic Preservation Consultants UMKC MASONRY / LANDSCAPE / FOUNTAINS COMPANY
 
Aula 4 gerência de configuração de software1
Aula 4 gerência de configuração de software1Aula 4 gerência de configuração de software1
Aula 4 gerência de configuração de software1Tiago Vizoto
 
HISTORIC FOUNTAIN AND MASONRY RESTORATION COMPANY NASHVILLE TN 816-500-4198
HISTORIC FOUNTAIN AND MASONRY RESTORATION COMPANY NASHVILLE TN 816-500-4198HISTORIC FOUNTAIN AND MASONRY RESTORATION COMPANY NASHVILLE TN 816-500-4198
HISTORIC FOUNTAIN AND MASONRY RESTORATION COMPANY NASHVILLE TN 816-500-4198UMKC MASONRY / LANDSCAPE / FOUNTAINS COMPANY
 
Internet Safety for Parents
Internet Safety for ParentsInternet Safety for Parents
Internet Safety for ParentsScott Burnett
 
Impressionism in the visual arts
Impressionism in the visual artsImpressionism in the visual arts
Impressionism in the visual artsBusines
 
Fall Prevention Safety posters roll out
Fall Prevention Safety posters roll outFall Prevention Safety posters roll out
Fall Prevention Safety posters roll outBarrie O'Sullivan
 
Melaka No Dram Of Mercy 4
Melaka No Dram Of Mercy 4Melaka No Dram Of Mercy 4
Melaka No Dram Of Mercy 4sara leong
 
Superior Glove Definitive Guide To Hand Protection
Superior Glove Definitive Guide To Hand ProtectionSuperior Glove Definitive Guide To Hand Protection
Superior Glove Definitive Guide To Hand ProtectionSuperior Glove Works Ltd.
 
Practice test ii topic
Practice test ii topicPractice test ii topic
Practice test ii topicRodriguezIvo
 
CBIR in the Era of Deep Learning
CBIR in the Era of Deep LearningCBIR in the Era of Deep Learning
CBIR in the Era of Deep LearningXiaohu ZHU
 
CSTEP peer review session
CSTEP peer review sessionCSTEP peer review session
CSTEP peer review sessionssutton123
 
Review literature
Review literatureReview literature
Review literaturemeenuch
 
Communication & presentation skills
Communication & presentation skillsCommunication & presentation skills
Communication & presentation skillsshakil2604
 
Suprematism
SuprematismSuprematism
SuprematismJuan Miguel Palero
 
Teste de Performance - 3º Encontro da ALATS
Teste de Performance - 3º Encontro da ALATSTeste de Performance - 3º Encontro da ALATS
Teste de Performance - 3º Encontro da ALATSFabrício Campos
 
Metodologia de-testes
Metodologia de-testesMetodologia de-testes
Metodologia de-testespadinho
 
Workshop - Plano de Testes End to End com o Microsoft Test Manager
Workshop - Plano de Testes End to End com o Microsoft Test ManagerWorkshop - Plano de Testes End to End com o Microsoft Test Manager
Workshop - Plano de Testes End to End com o Microsoft Test ManagerAlan Carlos
 
Introdução a testes automatizados
Introdução a testes automatizadosIntrodução a testes automatizados
Introdução a testes automatizadosThiago Ghisi
 
Engenharia de Testes
Engenharia de TestesEngenharia de Testes
Engenharia de TestesUFPA
 
[GUTS-RS] Testes de Performance
[GUTS-RS] Testes de Performance [GUTS-RS] Testes de Performance
[GUTS-RS] Testes de PerformanceGUTS-RS
 
Eng de testes aula2
Eng de testes aula2Eng de testes aula2
Eng de testes aula2GrupoAlves - professor
 
Testes De Software - Uma Visão Geral
Testes De Software - Uma Visão GeralTestes De Software - Uma Visão Geral
Testes De Software - Uma Visão Geralpaulo peres
 
Tipos de automação de teste
Tipos de automação de testeTipos de automação de teste
Tipos de automação de testeMarcos Pessoa
 

More Related Content

Viewers also liked

Aula 4 gerência de configuração de software1
Aula 4 gerência de configuração de software1Aula 4 gerência de configuração de software1
Aula 4 gerência de configuração de software1Tiago Vizoto
 
Internet Safety for Parents
Internet Safety for ParentsInternet Safety for Parents
Internet Safety for ParentsScott Burnett
 
Impressionism in the visual arts
Impressionism in the visual artsImpressionism in the visual arts
Impressionism in the visual artsBusines
 
Fall Prevention Safety posters roll out
Fall Prevention Safety posters roll outFall Prevention Safety posters roll out
Fall Prevention Safety posters roll outBarrie O'Sullivan
 
Melaka No Dram Of Mercy 4
Melaka No Dram Of Mercy 4Melaka No Dram Of Mercy 4
Melaka No Dram Of Mercy 4sara leong
 
Superior Glove Definitive Guide To Hand Protection
Superior Glove Definitive Guide To Hand ProtectionSuperior Glove Definitive Guide To Hand Protection
Superior Glove Definitive Guide To Hand ProtectionSuperior Glove Works Ltd.
 
Practice test ii topic
Practice test ii topicPractice test ii topic
Practice test ii topicRodriguezIvo
 
CBIR in the Era of Deep Learning
CBIR in the Era of Deep LearningCBIR in the Era of Deep Learning
CBIR in the Era of Deep LearningXiaohu ZHU
 
CSTEP peer review session
CSTEP peer review sessionCSTEP peer review session
CSTEP peer review sessionssutton123
 
Review literature
Review literatureReview literature
Review literaturemeenuch
 
Communication & presentation skills
Communication & presentation skillsCommunication & presentation skills
Communication & presentation skillsshakil2604
 

Viewers also liked (13)

Aula 4 gerência de configuração de software1
Aula 4 gerência de configuração de software1Aula 4 gerência de configuração de software1
Aula 4 gerência de configuração de software1
 
HISTORIC FOUNTAIN AND MASONRY RESTORATION COMPANY NASHVILLE TN 816-500-4198
HISTORIC FOUNTAIN AND MASONRY RESTORATION COMPANY NASHVILLE TN 816-500-4198HISTORIC FOUNTAIN AND MASONRY RESTORATION COMPANY NASHVILLE TN 816-500-4198
HISTORIC FOUNTAIN AND MASONRY RESTORATION COMPANY NASHVILLE TN 816-500-4198
 
Internet Safety for Parents
Internet Safety for ParentsInternet Safety for Parents
Internet Safety for Parents
 
Impressionism in the visual arts
Impressionism in the visual artsImpressionism in the visual arts
Impressionism in the visual arts
 
Fall Prevention Safety posters roll out
Fall Prevention Safety posters roll outFall Prevention Safety posters roll out
Fall Prevention Safety posters roll out
 
Melaka No Dram Of Mercy 4
Melaka No Dram Of Mercy 4Melaka No Dram Of Mercy 4
Melaka No Dram Of Mercy 4
 
Superior Glove Definitive Guide To Hand Protection
Superior Glove Definitive Guide To Hand ProtectionSuperior Glove Definitive Guide To Hand Protection
Superior Glove Definitive Guide To Hand Protection
 
Practice test ii topic
Practice test ii topicPractice test ii topic
Practice test ii topic
 
CBIR in the Era of Deep Learning
CBIR in the Era of Deep LearningCBIR in the Era of Deep Learning
CBIR in the Era of Deep Learning
 
CSTEP peer review session
CSTEP peer review sessionCSTEP peer review session
CSTEP peer review session
 
Review literature
Review literatureReview literature
Review literature
 
Communication & presentation skills
Communication & presentation skillsCommunication & presentation skills
Communication & presentation skills
 
Suprematism
SuprematismSuprematism
Suprematism
 

Similar to ibm_appscan

Teste de Performance - 3º Encontro da ALATS
Teste de Performance - 3º Encontro da ALATSTeste de Performance - 3º Encontro da ALATS
Teste de Performance - 3º Encontro da ALATSFabrício Campos
 
Metodologia de-testes
Metodologia de-testesMetodologia de-testes
Metodologia de-testespadinho
 
Workshop - Plano de Testes End to End com o Microsoft Test Manager
Workshop - Plano de Testes End to End com o Microsoft Test ManagerWorkshop - Plano de Testes End to End com o Microsoft Test Manager
Workshop - Plano de Testes End to End com o Microsoft Test ManagerAlan Carlos
 
Introdução a testes automatizados
Introdução a testes automatizadosIntrodução a testes automatizados
Introdução a testes automatizadosThiago Ghisi
 
Engenharia de Testes
Engenharia de TestesEngenharia de Testes
Engenharia de TestesUFPA
 
[GUTS-RS] Testes de Performance
[GUTS-RS] Testes de Performance [GUTS-RS] Testes de Performance
[GUTS-RS] Testes de PerformanceGUTS-RS
 
Testes De Software - Uma Visão Geral
Testes De Software - Uma Visão GeralTestes De Software - Uma Visão Geral
Testes De Software - Uma Visão Geralpaulo peres
 
Tipos de automação de teste
Tipos de automação de testeTipos de automação de teste
Tipos de automação de testeMarcos Pessoa
 
Webcast WebSphere Portal Performance
Webcast WebSphere Portal PerformanceWebcast WebSphere Portal Performance
Webcast WebSphere Portal PerformanceAlex Barbosa Coqueiro
 
Fundamentos de Teste de Software - Dev in PF. por Aline Zanin
Fundamentos de Teste de Software - Dev in PF. por Aline ZaninFundamentos de Teste de Software - Dev in PF. por Aline Zanin
Fundamentos de Teste de Software - Dev in PF. por Aline ZaninDevInPF
 
2 Ads
2 Ads2 Ads
2 Adslcbj
 
Como criar testes rápidos e robustos com Cypress
Como criar testes rápidos e robustos com CypressComo criar testes rápidos e robustos com Cypress
Como criar testes rápidos e robustos com CypressWalmyr Lima e Silva Filho
 
Monitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosMonitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosEduardo Legatti
 
Aula18_V&VTesteSoftware.pdf
Aula18_V&VTesteSoftware.pdfAula18_V&VTesteSoftware.pdf
Aula18_V&VTesteSoftware.pdfMichaelArrais1
 

Similar to ibm_appscan (20)

Teste de Performance - 3º Encontro da ALATS
Teste de Performance - 3º Encontro da ALATSTeste de Performance - 3º Encontro da ALATS
Teste de Performance - 3º Encontro da ALATS
 
Metodologia de-testes
Metodologia de-testesMetodologia de-testes
Metodologia de-testes
 
Workshop - Plano de Testes End to End com o Microsoft Test Manager
Workshop - Plano de Testes End to End com o Microsoft Test ManagerWorkshop - Plano de Testes End to End com o Microsoft Test Manager
Workshop - Plano de Testes End to End com o Microsoft Test Manager
 
Introdução a testes automatizados
Introdução a testes automatizadosIntrodução a testes automatizados
Introdução a testes automatizados
 
Engenharia de Testes
Engenharia de TestesEngenharia de Testes
Engenharia de Testes
 
[GUTS-RS] Testes de Performance
[GUTS-RS] Testes de Performance [GUTS-RS] Testes de Performance
[GUTS-RS] Testes de Performance
 
Eng de testes aula2
Eng de testes aula2Eng de testes aula2
Eng de testes aula2
 
Testes De Software - Uma Visão Geral
Testes De Software - Uma Visão GeralTestes De Software - Uma Visão Geral
Testes De Software - Uma Visão Geral
 
Tipos de automação de teste
Tipos de automação de testeTipos de automação de teste
Tipos de automação de teste
 
QA Ninja Conference 2016
QA Ninja Conference 2016QA Ninja Conference 2016
QA Ninja Conference 2016
 
Webcast WebSphere Portal Performance
Webcast WebSphere Portal PerformanceWebcast WebSphere Portal Performance
Webcast WebSphere Portal Performance
 
Fundamentos de Teste de Software - Dev in PF. por Aline Zanin
Fundamentos de Teste de Software - Dev in PF. por Aline ZaninFundamentos de Teste de Software - Dev in PF. por Aline Zanin
Fundamentos de Teste de Software - Dev in PF. por Aline Zanin
 
2 Ads
2 Ads2 Ads
2 Ads
 
Como criar testes rápidos e robustos com Cypress
Como criar testes rápidos e robustos com CypressComo criar testes rápidos e robustos com Cypress
Como criar testes rápidos e robustos com Cypress
 
TechEd_OFC305
TechEd_OFC305TechEd_OFC305
TechEd_OFC305
 
Monitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - NagiosMonitoramento de Serviços de Bancos de Dados - Nagios
Monitoramento de Serviços de Bancos de Dados - Nagios
 
Teste de software
Teste de softwareTeste de software
Teste de software
 
Teste de desempenho
Teste de desempenhoTeste de desempenho
Teste de desempenho
 
O que é Teste de Software?
O que é Teste de Software?O que é Teste de Software?
O que é Teste de Software?
 
Aula18_V&VTesteSoftware.pdf
Aula18_V&VTesteSoftware.pdfAula18_V&VTesteSoftware.pdf
Aula18_V&VTesteSoftware.pdf
 

ibm_appscan

  • 1. Ferramenta para Testes de Segurança Autor: Reinaldo Mateus R. Junior Analista de Testes Senior Certificado IBM AppScan
  • 2.
  • 3. • Black-Box Web application security testing. Rational AppScan Standard Edition realiza testes de Segurança em aplicações Web, para ajudar a proteger contra a ameaça de ciber-ataque com uma solução que combina a análise dinâmica, análise de JavaScript estático com a facilidade de uso.
  • 5.  Identifica vulnerabilidades de aplicações Web, incluindo todas as relevantes da WASC TCv2 vulnerabilidades, como SQL- Injection, Cross-Site Scripting e buffer Overflows.  Aplica-se a análise estática com JavaScript Security Analyzer para identificar problemas de segurança do lado do cliente, tais como DOM baseado cross site scripting, injeção de código, Open Redirect, CSRF Bypass, sessão dupla, Manipulação de porta e Manipulação de Protocolo.  Detalha possíveis soluções nas principais linguagens.
  • 6.  Simula invasões Reais.  A Quantidade de Testes Realizados é superior aos manuais, economizando tempo e dinheiro.  A Ferramenta prove atualização das vulnerabilidades encontradas atualmente.  É possível agendar um teste a ser realizado.
  • 7.  Antes de enviar os testes específicos do site criado, Rational AppScan envia vários pedidos malformada para o aplicativo para determinar qual a resposta de erro gerada.  Rational AppScan analisa as respostas a cada solicitação que envia, à procura de qualquer indício de uma vulnerabilidade potencial.
  • 8. Não Recomendado Testar em Produção, Possíveis Problemas:  Interrupção do Serviço – Como IBM AppScan Envia muita requisições para a Aplicação e no modo invasivo tenta realizar o “Denial of Service” , é bem provável que a Interrupção do Serviço ou em melhor caso a Lentidão da Aplicação para o Usuário final.  Corrupção do banco de dados de produção – O AppScan no modo “Invasive” ele tenta fazer Buffer Overflow no Banco de Dados, que é o transbordamento de dados (em inglês: buffer overflow) acontece quando o tamanho de um buffer ultrapassa sua capacidade máxima de armazenamento, em pior caso pode ocorrer problemas sérios ao banco de dados.  Servidor de Email – ao realizar o teste a ferramenta envia diversas requisições o email do administrador cadastrado, o mesmo vai receber milhares de email ou alertas, é bem provável que haja Interrupção do Serviço de Email .
  • 9.  Notificar a Área de TI ou de Redes – Como o AppScan trabalha enviando requisições pela rede, poderá ocorrer alguma lentidão dos Serviços na Rede.  Desativar o Antivírus – O antivírus poderá bloquear alguns testes realizados na Aplicação, outra solução é adicionar na “Trusted Zona” do antivírus .  Realizar um Backup do Banco de Dados – O AppScan poderá mudar alguns dados ou tentar manipular variáveis do Banco de Dados, é extremamente aconselhado realizar um Backup do mesmo.  Desligar o Servidor de SMTP: Ao tentar realizar os testes em formulário de Cadastro, aonde possui envio de email, poderá acontecer o enchimento da caixa de email do administrador ou até mesmo do cliente responsável em recebê-lo.
  • 10.  Não Realização testes em Paralelo: A Realização de testes em Paralelo como teste de performance e da AppScan ao mesmo tempo, poderá interferir em ambos os testes, além de pode gerar negação de serviço se o usuário estiver testando a aplicação utilizada pela Ferramenta, ou até mesmo gerar sobrecarrega da rede, assim gerando lentidão e erros em testes funcionais.  Definição de Meio Ambiente – Deve se fazer o levantamento do ambiente utilizado, Operating system scanned (suse, unix, win32 ou Not Defined )Web Server (IIs, Apache, IBM HTTP Server, etc), Application Server (ASP.NET, Oracle, Tomcat, etc), Type of Database (Oracle, MySQL, DB2), Third-Party Component (if any ex. WordPress, PostNuke, cPanel, etc), Location of Site (Local, Remote), Type of Site (Production, Test). Isso resulta em um teste mais rápido e preciso da ferramenta (no entanto não é obrigatório).
  • 11.  Controle – Os relatórios gerados pela AppScan deve ser salvados diretamente no SVN ou GIT, não podendo ser enviada por email ou pendriver, fica resguardando a gerencia de configuração o acesso exclusivo as pessoas que deveram ter acesso aos relatórios, tendo assim o controle de segurança exigido pela ABNT NBR ISO/IEC 17799:2005 item 12.1.1 Análise e especificação dos requisitos de segurança.
  • 12.  O computador não ter os requisitos mínimos ao realizar os testes (Rational® AppScan®, Version 8.0):  Processor Pentium P4, 2.4 GHz / Memory 2 GB RAM - Disk Space - 30 GB - Network1 NIC 100 Mbps for network communication with configured TCP/IP
  • 13.  O Login Falhou – Depois de colocar a URL da Aplicação que será explorada, o segundo Passo é gravar o login da Aplicação. Numa eventual falha de Autenticação a Aplicação não realizará o teste completo, somente realizará os testes naqueles formulários que não necessita de autenticação.  Não reconhecimento das Configurações de Ambientes– Pode não gera um teste mais acurado de acordo com o ambiente testado.  Falta de Conhecimento – É necessário conhecimento na Aplicação para identificar se o teste falho não é falso positivo, também é necessário conhecimento em segurança para tentar realizar um teste manual na ferramenta, confirmando o erro encontrado, também para analisar as variáveis que foram modificadas pela ferramenta.
  • 14.  Case-Sensitive Path não marcado – Não reconhece os caracteres Maiúsculos, deve permanecer marcado essa opção, com essa opção não marcada irá realizar somente os testes cuja URL não estão com letras Maiúsculas.  Insufficient Disk Space – É necessário de pelo menos 10 gb livres na maquina para executar os testes na AppScan.  Servidores e Domínios Adicionais: Se sua aplicação inclui servidores ou domínios que não sejam os da URL Inicial, AppScan pode incluí-los. Se não for adicionados, poderá realizar o escaneamento domínio inicial, não cobrindo o teste total (nos testes realizados foi necessário adicionar outro servidor).
  • 15.  Proxy não Configurado: Por Padrão o AppScan usa as configurações do Internet Explorer, quando a ferramenta não consegui realizar o reconhecimento automático é necessário configurar manualmente para poder realizar os testes (nos testes do SEG foi preciso configurar o Proxy e reiniciar a ferramenta).  JavaScript Execução não habilitado: Deve se habilitar no servidor a execução do JavaScript para a realização dos testes.  Não mapeou todas as Telas: Algumas telas no processo automático podem não ser mapeadas.  Memória Virtual Baixa: Ao realizar os testes a memória virtual pode está muito baixa, aumente o limite de memória ou deixe que o sistema faça o gerenciamento.
  • 16.  O número de testes que AppScan envia durante uma varredura pode chegar aos milhares. Às vezes é preferível reduzir o tempo de scan, limitando a análise a certos tipos apenas, usando a Política de teste (Test Policy), é muito necessário para limitar somente os testes que desejamos realizar e excluindo o que não é necessário no momento ou de acordo com a urgência e o tempo de teste.
  • 17.  Em “Scan Configuration Wizard”, no terceiro passo de configuração, em “Test Policy”, você poderá escolhe o tipo de política que vai ser aplicada no teste, listamos todas abaixo:
  • 18. Policy Name Description Default Inclui todos os testes, exceto testes invasivos e port listener tests. Application-Only Inclui todos os testes de nível de aplicativo, exceto testes invasivos e port listener tests. Infrastructure- Only Inclui todos os testes de infra-estrutura de nível, exceto testes invasivos e port listener tests. Invasive Inclui todos os testes invasivos (exames que podem afetar a estabilidade do servidor). Complete Inclui todos os testes da AppScan. Web Services Inclui todos os testes relacionados com o SOAP, exceto testes invasivos e port listener tests. The Vital Few Inclui uma seleção de testes que têm uma alta probabilidade de sucesso. Isto pode ser útil para avaliar um site quando o tempo é limitado. Developer Essentials Inclui uma seleção de testes de aplicativos que têm uma elevada probabilidade de sucesso. Isto pode ser útil para avaliar um site quando o tempo é limitado.
  • 19.  Na Realização dos testes recomendo a Política de Teste “Default” por padrão, o tipo de teste default pode ser modificado na ferramenta podendo modificar as Métricas (High, Medium, Low, Informational), assim podendo assim realizar vários ciclos de correções, primeira “High”, segunda “Medium”, sucessivamente.
  • 20.  Ao realizar o teste em um formulário especifico, a melhor forma é iniciar o teste com exploração manual e depois executar os testes. Quando for realizada uma criação de um novo caso de uso, ou acrescentar novas funcionalidades, não se tem a necessidade de testar todo sistema, podendo ser realizado dessa forma.
  • 21.  Todos os sistemas podem ser testados pela aplicação no modo “default”, não se deve realizar os testes em modo Invasivo, a não ser quando solicitado.
  • 22.  A ferramenta AppScan faz atualização automática, as atualizações de assinatura incluir novos tipos de técnicas de exploração de aplicações web e correções de bugs. É recomendado que você instale esses arquivos assim que receber a notificação de sua disponibilidade. Observação:  A atualização pode ser bloqueada pelo firewall.  Depois da atualização deve-se reiniciar a maquina.
  • 23.
  • 24.  Ao analisar o código podemos identificar alguns falsos positivos  <ADDRESS>Oracle-Application-Server-10g/10.1.3.5.0 Oracle-HTTP- Server Server at portal1tstb.fucapi.br Port 80</ADDRESS>  O AppScan identificou como se fosse o IP do Servidor Oracle, mas na verdade é a versão do Oracle.  Obs. Deve se ocultar a versão do Oracle, numa possível descoberta de falha, um exploit poderia explorar a vulnerabilidade. Passos:  Clica no Link da ocorrência com o botão direito do mouse e selecione “set non-vulnerable”.  Vai remover a vulnerabilidade da lista.
  • 25.  IBM Rational Web Services Explorer V8.0 Windows Multilingual (add-on to AppScan Standard Edition 8.0). Complemento Necessário para realizar os testes com Web Services. * baixar no site abaixo: https://www- 304.ibm.com/support/docview.wss?uid=swg21366519
  • 26.  Os testes podem ser agendados para qualquer hora e data da semana, após o agendamento ele realizará de forma automática a inicialização dos testes solicitados.
  • 27.  Ao terminar os Testes podemos gerar vários tipos de Relatórios, padrão da ferramenta ou padrões de Industrias especializadas, na ferramenta há várias formas de personalizar de um Relatório.
  • 28. Icon Name Short Description Security Report Relatório de problemas de segurança encontrados durante a varredura. Informações de segurança pode ser muito extensa, e podem ser filtrados de acordo com suas necessidades. Seis modelos padrão estão incluídos, mas cada um pode ser facilmente adaptado para incluir ou excluir categorias de informações, conforme necessário. Industry Standard Report Relatório de conformidade (ou não-conformidade) do seu aplicativo com um comitê de indústria padronizado ex. OWASP (Open Web Application Security Project), ou você pode criar seu próprio checklist com padrões personalizados. Regulatory Compliance Report Relatório de conformidade (ou não-conformidade) de sua aplicação com uma grande variedade de regulamentos ou normas legais, ou com o seu modelo personalizado . Delta Analysis Report O relatório Análise Delta compara dois conjuntos de resultados da verificação e mostra a diferença em URLs e / ou questões de segurança descobertos. Template Based Report Relatório personalizado definidos por um template no WORD, a formatação do documento pode ser personalizada pelo usuário seguindo as regras do programa, no Microsoft Word em Formato “.doc”.
  • 30. Podemos verificar os logs e analisar as requisições e possíveis problemas que deram ao realizar os testes.  C:Arquivos de programasIBMRational AppScanLogs
  • 31.  A AppScan pode automaticamente não conseguir explorar algumas URL’s. Não realizando o teste nesses formulários.  A ferramenta AppScan por melhor que seja pode acontecer de uma nova vulnerabilidade ser encontrada e explorada, antes que a ferramenta seja atualizada.  A AppScan só cobre a camada de Aplicação, outras técnicas podem ser exploradas, em componentes de terceiros, SO, Web Server Oracle, Maquina Virtual Java, ou até mesmo bug na Linguagem.  AppScan não cobre problemas de Segurança na Arquitetura.  AppScan não cobre problemas roubo de dados por Vírus , cavalos de tróia ou Keylog na maquina do Usuário.  Se o Servidor de Licenças estiver fora é impossível a realização dos testes.
  • 32.  Owasp Top 10 – 2010 › A1: Injection › A2: Cross-Site Scripting (XSS) › A3: Broken Authentication and Session Management › A4: Insecure Direct Object References › A5: Cross-Site Request Forgery (CSRF) › A6: Security Misconfiguration › A7: Insecure Cryptographic Storage › A8: Failure to Restrict URL Access › A9: Insufficient Transport Layer Protection › A10: Unvalidated Redirects and Forwards
  • 33. Nos testes realizados o AppScan demonstrou ser uma ótima ferramenta para testes de segurança automatizados, é necessário conhecimento para reconhecer falsos positivos nos testes e conhecimento das vulnerabilidades para tentar reproduzir o erro de forma manual. O mesmo possui um gerador de relatórios muito bom, agendamento das atividades e formas de exploração manual e automática, a ferramenta é bem intuitiva. Um Ponto falho na ferramenta é a exploração manual não é tão boa com em outras ferramentas, mais os problemas encontrados foram solucionados pela experiência na ferramenta e em outras, o material na internet é bem escasso, mas o help da ferramenta é muito bom. A ferramenta é uma ótima aquisição, aonde só tem acrescentar as empresas.
  • 34. Ferramenta para Testes Automatizados de Segurança Autor: Reinaldo Mateus R. Junior Analista de Testes Senior Certificado IBM AppScan Reinaldo.junior2@gvt.com.br