1
Download DYNAMIC ANALYSIS SECURITY TESTING SEGURIDAD COMO
Transcript
DYNAMIC ANALYSIS SECURITY TESTING (DAST) SEGURIDAD COMO TAREA DE TESTING DAST IAST SAST Análisis Dinámico Análisis Interactivo Análisis Estático DAST SAST IAST Ventajas • Se ejecuta con la aplicación corriendo. • No se tiene acceso al código, vemos lo mismo que el usuario. • Pruebas fáciles de integrar. • Flexible y escalable. • Eficaz y eficiente. *Testing Exploratorio. Objetivos • Formularios que interactúan con nuestros inputs. Login, Contacto, Registro, etc... • Formularios GET. www.WebMail.com/eliminarUsuario.php?id=1 www.WebMail.com/[email protected][email protected] • Archivos Acceso a archivos no autorizados Actividad Manual de uso Formulario de Login: - Inicio de Sesión - Registro - Baja Formulario de contacto URL: http://www.its.com.uy/TestingUY/indexTaller.php WIFI: PASS: - Registro - Descripción: 45 min. Ubicación: Posible Solución: 1 Se puede obtener una lista de usuarios. 1. El usuario existe en la base de datos Acceso no autorizado 2 2. Campos vulnerables a inyecciones SQL 1. El usuario existe en la base de datos 2. Campos vulnerables a inyecciones SQL Dar de baja a otro usuario 3 XSS: Cross-site scripting Persistente 4 Base de Datos de la Página TEST: <h1>test</h1> Registrar Login TEST: <script>alert() Acceso no deseado a archivos 5 site:www.testing.uy filetype:pdf Phishing/Spam 6 Conclusión: • Se adapta a las tareas de testing fácilmente. • Análisis orientado a detectar amenazas externas. • Herramientas como complemento. • Detectamos bugs de seguridad. Consultas? Contacto: mail: [email protected] linkedIn: https://uy.linkedin.com/in/rbarbosait
