ic-testes invasao

Globalcode – Open4education

Integração Continua com Testes de Invasão

Denny Richard San VriesmanDevOps Engineer


Sobre mim

Denny Richard San Vriesman

9+ anos na

-OCAJP, OCPPJ-Java Developer, Software Architect,-Devops and Cloud Engineer-O mais legal: programou em BASIC num Apple II, num MSX e num TK2000 em 1989.

Let’s go


Agenda

Segurança em focoAbraçando a segurançaKit básico de ferramentasConsolidando resultadosConclusões


Segurança em foco


Algumas inseguranças


Abraçando a segurança


DevOps – CI / CD


Pentest

1. Coletar Informações2. Mapeamento de Rede3. Enumeração de Serviços4. Busca de Vulnerabilidade5. Exploração das Vulnerabilidade6. Implantação de Backdoors e

Rootkits7. Eliminação de Vestígios


Abraçando a segurança

Sec + DevOps =


SecDevOps

• Melhores práticas que ajudam as organizações a implantar código seguro

• Automatização de testes de invasão (pentests)

• Herda conceitos essenciais DevOps:

• Falhar o quanto antes• Reparar rapidamente

• https://www.reddit.com/r/secdevops/


SecDevOpsAvaliação de Risco

UX Security

Capacitação,Peer Code

Review

CI com Testes de Invasão

Monitoração, Logs,

Respostas a Incidentes

SecDevOps


Alguns tipos de testesTestes de Segurança Funcionais

Scan da Aplicação e Infra-estrutura

Testes de Segurança da lógica

da aplicação

Autenticação Autorização

Consigo interceptar uma requisição, diminuindo o valor

de uma compra?

Vulnerabilidades identificadas por

ferramentas de Scan

Consigo fazer uma transferências para uma conta

com valor negativo?


Kit Básico de Ferramentas


Zed Attack Proxy

• OWASP Top 10• Pode rodar como Daemon• REST-API• CLI• Pode ser scriptado


ZAP + Jenkins

• Permite fazermos um scan.• Simples: Aponte para a URL a ser testada.• Gera relatórios no JOB em HTML e/ou XML.

• Recomenda-se o uso no Build Noturno.• Cada JOB deve ser configurado com um porta

Proxy diferente para habilitar a execução paralela.


ZAProxy Jenkins Plugin


Relatório ZAP


Web App Security Scanner

• Ideal para aplicações com muitos JavaScripts, SPA• Entende DOM, Jquery e Angular.• Scan Passivo/Ativo• Relatórios em XML / HTML / JSON


Arachni + Jenkins

• CLI ou RPC ou REST

• Copiar relatórios no Workspace do Job

• Build Noturno


Arachni command line


Relatório Arachni


• Framework para testes não-funcionais e funcionais de segurança• Usa Jbehave e Selenium para as estórias e fluxo de navegação• Usa ZAP como Scanner Default (pode usar outros). • Scan de Infraestrutura com Nessus.• Testes de WebServices• Suporte a autenticação com Tokens.• Conjunto de estórias pré-definidas


Exemplo Estória


Kit Básico de Ferramentas

• Execução de um projeto Maven

• Jbehave Plugin

• Jenkins HTML Publisher

+ Jenkins


Jenkins Test Result


Jenkins HTML Publish


Outras Ferramentas


Consolidando resultados


Consolidando resultados

Cada ferramenta gera seus relatórios em formatos

proprietários

Como eliminar resultados repetidos entre as diversas ferramentas ?

Como realizar análises e identificar tendências?


Mais uma ferramenta


• Consolidação e análise de dados, inclusive tendência.• Open Source Community vs Enterprise• Normaliza resultado de várias ferramentas:

• IBM AppScan• ZAP Proxy• Arachni• HPE Security WebSpec• Accunetix• FindBugs• W3af• Etc.... (várias outras)


+ Jenkins• CLI ou REST API

• Possui plugin para o Jenkins


Jenkins Config


ThreadFix Dashboard


Conclusões

SecDevOps

Automação

DevOps já está em nosso dia-a-dia.SecDevOps é o próximo passo!

Já existem várias ferramentas pentesters que podem ser facilmente integradas aos builds, através de plugins.

Qualquer ferramentas pode ser chamada via linha de comando nos builds.

Devemos normalizar os dados para análise.

Vamos deixar esse Lammer mostrar que é hacker de verdade.

The end


OBRIGADODenny Richard San Vriesman

[email protected]://br.linkedin.com/in/dvriesman

mailto:[email protected]

https://br.linkedin.com/in/dvriesman

ic-testes invasao

Documents