Тестирование безопасности - презентация, доклад, проект скачать

Нажмите для полного просмотра!

Содержание ▲

Вы можете ознакомиться и скачать презентацию на тему Тестирование безопасности. Доклад-сообщение содержит 12 слайдов. Презентации для любого класса можно скачать бесплатно. Если материал и наш сайт презентаций Mypresentation Вам понравились – поделитесь им с друзьями с помощью социальных кнопок и добавьте в закладки в своем браузере.

Слайды и текст этой презентации

Слайд 1

Описание слайда:

Тестирование безопасности

Слайд 2

Описание слайда:

План лекции Введение. Принципы безопасности ПО. Что проверять? Виды уязвимостей. Как тестировать ПО на безопасность. Инструменты.

Слайд 3

Описание слайда:

Тестирование безопасности - это стратегия тестирования, используемая для проверки безопасности системы, а также для анализа рисков, связанных с обеспечением целостного подхода к защите приложения, атак хакеров, вирусов, несанкционированного доступа к конфиденциальным данным. Тестирование безопасности - это стратегия тестирования, используемая для проверки безопасности системы, а также для анализа рисков, связанных с обеспечением целостного подхода к защите приложения, атак хакеров, вирусов, несанкционированного доступа к конфиденциальным данным.

Слайд 4

Описание слайда:

Принципы безопасности ПО Конфиденциальность - это сокрытие определенных ресурсов или информации. Целостность – состоит из двух критериев: Доверие и Повреждение и восстановление. Доступность - требования о том, что ресурсы должны быть доступны авторизованному пользователю, внутреннему объекту или устройству.

Слайд 5

Описание слайда:

Что проверять? Контроль доступа Аутентификация Валидация входных значений Криптография Механизмы обработки ошибок Конфигурация сервера Интеграция со сторонними сервисами Проверка устойчивости к Dos/DDos атакам

Слайд 6

Описание слайда:

OWASP Open Web Application Security Project (OWASP) — это открытый проект обеспечения безопасности веб-приложений.

Слайд 7

Описание слайда:

Виды уязвимостей XSS (Cross-Site Scripting) - это вид уязвимости программного обеспечения (Web приложений), при которой, на генерированной сервером странице, выполняются вредоносные скрипты, с целью атаки клиента. XSRF / CSRF (Request Forgery) - это вид уязвимости, позволяющий использовать недостатки HTTP протокола. Code injections (SQL, PHP, ASP и т.д.) - это вид уязвимости, при котором становится возможно осуществить запуск исполняемого кода с целью получения доступа к системным ресурсам, несанкционированного доступа к данным либо выведения системы из строя. Server-Side Includes (SSI) Injection - это вид уязвимости, использующий вставку серверных команд в HTML код или запуск их напрямую с сервера. Authorization Bypass - это вид уязвимости, при котором возможно получить несанкционированный доступ к учетной записи или документам другого пользователя.

Слайд 8

Описание слайда:

Как тестировать на безопасность? Google? А почему бы и нет? Для проверки на XSS разместить на странице скрипт, например: alert(document.cookie); Наиболее частыми CSRF атаками являются атаки использующие HTML тэг или Javascript объект image. Наример:

Слайд 9

Описание слайда:

4. Code injections SQL-запрос на сервер: SELECT Username FROM Users WHERE Name = 'tester' AND Password = 'testpass'; Вводимые данные: имя ’tester’ пароль testpass' OR '1'='1 Итоговый запрос: SELECT Username FROM Users WHERE Name = 'tester' AND Password = 'testpass' OR '1'='1';

Слайд 10

Описание слайда:

5. Команда, которая выводит на экран список файлов в OS Linux: < !--#exec cmd="ls" --> 5. Команда, которая выводит на экран список файлов в OS Linux: < !--#exec cmd="ls" --> 6. Для проверки на уязвимость Authorization Bypass попробуйте подставить вместо своего userID в адресе страницы личного профиля номер другого пользователя.

Слайд 11

Описание слайда:

Инструменты Сканеры безопасности: XSpider, Zenmap, Metasploit – сетевые сканеры, для тестирования уязвимостей, присущих сетевой инфраструктуре. Acunetix Web Vulnerability Scanner, XSpider, MaxPatrol, инструментарий OWASP Live CD – специализированный набор инструментов для тестирования безопасности и логики работы web-приложения. Ручное и полуавтоматизированное тестирование безопасности: Intercepter-NG, WinDump, WireShark и др. – снифферы для перехвата и анализа сетевого траффика. FireBug, Web Developer – плагины для Firefox, которые можно использовать для изменения логики работы клиентской части приложения. Selenium-тесты для подсистемы безопасности.

Слайд 12

Описание слайда:

Tamper Data – простой, быстрый и эффективный инструмент, который используется при проведении испытания на возможность проникновения в систему. Tamper Data – простой, быстрый и эффективный инструмент, который используется при проведении испытания на возможность проникновения в систему. SkipFish - бесплатный сканер безопасности с открытым кодом. Wapiti выполняет сканирование методом «чёрного ящика» и вводит полезные данные, чтобы проверить, уязвим ли сценарий. SQLMap - бесплатный сканер с открытым исходным кодом, главная задача которого автоматизированный поиск SQL уязвимостей. RIPS — сканер предназначен для отслеживания «узких» мест, статичного кода PHP.

Теги Тестирование безопасности

Похожие презентации