IC-Testes Invasao

Transferir como PPT, PDF

•0 gostou•493 visualizações

O documento discute a integração de testes de invasão nos processos de desenvolvimento contínuo (CI/CD) através da abordagem SecDevOps. Ele apresenta ferramentas como ZAP, Arachni e ThreadFix que podem ser usadas para automatizar testes de segurança e consolidar resultados de múltiplas ferramentas. A integração dessas ferramentas com Jenkins é destacada como forma de realizar testes de segurança como parte dos builds noturnos.

Globalcode – Open4education
Integração Continua
com Testes de Invasão
Denny Richard San Vriesman
DevOps Engineer

Globalcode – Open4education
Sobre mim
Denny Richard San Vriesman
9+ anos na
-OCAJP, OCPPJ
-Java Developer, Software Architect,
-Devops and Cloud Engineer
-O mais legal: programou em BASIC num Apple II,
num MSX e num TK2000 em 1989.
Let’s go

Globalcode – Open4education
Agenda
Segurança em foco
Abraçando a segurança
Kit básico de ferramentas
Consolidando resultados
Conclusões

Globalcode – Open4education
Segurança em foco

Globalcode – Open4education
Algumas inseguranças

Globalcode – Open4education
Abraçando a segurança

Globalcode – Open4education
DevOps – CI / CD

Globalcode – Open4education
Pentest
1. Coletar Informações
2. Mapeamento de Rede
3. Enumeração de Serviços
4. Busca de Vulnerabilidade
5. Exploração das Vulnerabilidade
6. Implantação de Backdoors e
Rootkits
7. Eliminação de Vestígios

Globalcode – Open4education
Abraçando a segurança
Sec + DevOps =

Globalcode – Open4education
SecDevOps
• Melhores práticas que ajudam as organizações a implantar código
seguro
• Automatização de testes de invasão (pentests)
• Herda conceitos essenciais DevOps:
• Falhar o quanto antes
• Reparar rapidamente
• https://www.reddit.com/r/secdevops/

Globalcode – Open4education
SecDevOps
Avaliação
de Risco
UX Security
Capacitação,
Peer Code
Review
CI com
Testes de
Invasão
Monitoração
, Logs,
Respostas a
Incidentes
SecDevOps

Globalcode – Open4education
Alguns tipos de testes
Testes de
Segurança
Funcionais
Scan da Aplicação e
Infra-estrutura
Testes de
Segurança da lógica
da aplicação
Autenticação Autorização
Consigo interceptar uma
requisição, diminuindo o valor
de uma compra?
Vulnerabilidades
identificadas por
ferramentas de Scan
Consigo fazer uma
transferências para uma conta
com valor negativo?

Globalcode – Open4education
Kit Básico de Ferramentas

Globalcode – Open4education
Zed Attack Proxy
• OWASP Top 10
• Pode rodar como Daemon
• REST-API
• CLI
• Pode ser scriptado

Globalcode – Open4education
ZAP + Jenkins
• Permite fazermos um scan.
• Simples: Aponte para a URL a ser testada.
• Gera relatórios no JOB em HTML e/ou XML.
• Recomenda-se o uso no Build Noturno.
• Cada JOB deve ser configurado com um porta
Proxy diferente para habilitar a execução paralela.

Globalcode – Open4education
ZAProxy Jenkins Plugin

Globalcode – Open4education
Relatório ZAP

Globalcode – Open4education
Web App Security Scanner
• Ideal para aplicações com muitos JavaScripts, SPA
• Entende DOM, Jquery e Angular.
• Scan Passivo/Ativo
• Relatórios em XML / HTML / JSON

Globalcode – Open4education
Arachni + Jenkins
• CLI ou RPC ou REST
• Copiar relatórios no Workspace do Job
• Build Noturno

Globalcode – Open4education
Arachni command line

Globalcode – Open4education
Relatório Arachni

Globalcode – Open4education
• Framework para testes não-funcionais e funcionais de segurança
• Usa Jbehave e Selenium para as estórias e fluxo de navegação
• Usa ZAP como Scanner Default (pode usar outros).
• Scan de Infraestrutura com Nessus.
• Testes de WebServices
• Suporte a autenticação com Tokens.
• Conjunto de estórias pré-definidas

Globalcode – Open4education
Exemplo Estória

Globalcode – Open4education
Kit Básico de Ferramentas
• Execução de um projeto Maven
• Jbehave Plugin
• Jenkins HTML Publisher
+ Jenkins

Globalcode – Open4education
Jenkins Test Result

Globalcode – Open4education
Jenkins HTML Publish

Globalcode – Open4education
Outras Ferramentas

Globalcode – Open4education
Consolidando resultados

Globalcode – Open4education
Consolidando resultados
Cada ferramenta gera seus
relatórios em formatos
proprietários
Como eliminar resultados repetidos entre
as diversas ferramentas ?
Como realizar análises e identificar
tendências?

Globalcode – Open4education
Mais uma ferramenta

Globalcode – Open4education
• Consolidação e análise de dados, inclusive tendência.
• Open Source Community vs Enterprise
• Normaliza resultado de várias ferramentas:
• IBM AppScan
• ZAP Proxy
• Arachni
• HPE Security WebSpec
• Accunetix
• FindBugs
• W3af
• Etc.... (várias outras)

Globalcode – Open4education
+ Jenkins
• CLI ou REST API
• Possui plugin para o Jenkins

Globalcode – Open4education
Jenkins Config

Globalcode – Open4education
ThreadFix Dashboard

Globalcode – Open4education
Conclusões
SecDevOps
Automação
DevOps já está em nosso dia-a-dia.
SecDevOps é o próximo passo!
Já existem várias ferramentas pentesters que
podem ser facilmente integradas aos builds,
através de plugins.
Qualquer ferramentas pode ser chamada via
linha de comando nos builds.
Devemos normalizar os dados para análise.
Vamos deixar esse Lammer
mostrar que é hacker de verdade.
The end

Globalcode – Open4education
OBRIGADO
Denny Richard San Vriesman
dvriesman@gmail.com
https://br.linkedin.com/in/dvriesman

Anúncio

Mais conteúdo relacionado

PDF

TDC2016SP - Trilha DevOps Javatdc-globalcode

PPTX

TDC2016SP - Trilha DevOps Javatdc-globalcode

PPTX

TDC2016SP - Por dentro do .Net Coretdc-globalcode

PPTX

Testando sua aplicação asp.net mvc de forma automatizada de ponta a pontatdc-globalcode

PDF

Aplicações 12 fatores, melhor com DockerWellington Silva

PDF

DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes

PPTX

Entity Framework 7.0 a.k.a Entity Core 1.0Caliel Costa

PDF

Padrões de deploy para DevOps e Entrega Contínua, por Danilo SatoThoughtworks

TDC2016SP - Trilha DevOps Javatdc-globalcode

TDC2016SP - Por dentro do .Net Coretdc-globalcode

Testando sua aplicação asp.net mvc de forma automatizada de ponta a pontatdc-globalcode

Aplicações 12 fatores, melhor com DockerWellington Silva

DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes

Entity Framework 7.0 a.k.a Entity Core 1.0Caliel Costa

Padrões de deploy para DevOps e Entrega Contínua, por Danilo SatoThoughtworks

Mais procurados (20)

PPT

Minicurso Testes em .NET - Globalcode Vinicius QuaiatoVinicius Quaiato

PPTX

Criando uma arquitetura escalável para processamento de arquivos com micro s...Emmanuel Neri

PPT

Comunicação multiplataforma em tempo real com SignalRAndre Carlucci

PPTX

Incluindo Ferramentas de Segurança no PipelineClaudio Romao

PDF

Java e uma visão sobre PaaSEder Magalhães

PDF

Métricas de monitoramento de SoftwareÉlysson Mendes Rezende

PPTX

Codacy, CodeClimate, Sonarqube @ 5º DevOps Inside RJThiago Barradas

PDF

TDC 2016 Floripa - Aprendendo Docker sem bruxariaStefan Teixeira

PDF

Jenkins + DCS / Dafiti Conference 2014Rodrigo Moyle

PDF

Construindo um micro-serviço Java 100% funcional em 15 minutosRafael Chaves

PDF

Ideais Cowabunga - Headless Testing com GhostDriverStefan Teixeira

PDF

TDC 2016 SP - Desmistificando cobertura de código como métrica de qualidadeStefan Teixeira

PPTX

Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security

PPTX

Experiências de quem utiliza a Stack da Netflix e Spring boot em serviços de ...Paula Santana

PDF

Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Jeronimo Zucco

PDF

VR Dev Summit 2016 - Primeiros Passos em Automação de TestesStefan Teixeira

PDF

Webinar Segurança de DevOpsTenchi Security

PDF

TDC 2016 Floripa - Criando APIs REST em minutos com Spark + Java 8Stefan Teixeira

PPTX

TDC2016POA | Trilha .NET - .NET Entity Core 1.0tdc-globalcode

PPTX

Como melhoramos a performance dos testes automatizados com py.test e factoryboyLeonardo Galani

Minicurso Testes em .NET - Globalcode Vinicius QuaiatoVinicius Quaiato

Criando uma arquitetura escalável para processamento de arquivos com micro s...Emmanuel Neri

Comunicação multiplataforma em tempo real com SignalRAndre Carlucci

Incluindo Ferramentas de Segurança no PipelineClaudio Romao

Java e uma visão sobre PaaSEder Magalhães

Métricas de monitoramento de SoftwareÉlysson Mendes Rezende

Codacy, CodeClimate, Sonarqube @ 5º DevOps Inside RJThiago Barradas

TDC 2016 Floripa - Aprendendo Docker sem bruxariaStefan Teixeira

Jenkins + DCS / Dafiti Conference 2014Rodrigo Moyle

Construindo um micro-serviço Java 100% funcional em 15 minutosRafael Chaves

Ideais Cowabunga - Headless Testing com GhostDriverStefan Teixeira

TDC 2016 SP - Desmistificando cobertura de código como métrica de qualidadeStefan Teixeira

Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security

Experiências de quem utiliza a Stack da Netflix e Spring boot em serviços de ...Paula Santana

Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Jeronimo Zucco

VR Dev Summit 2016 - Primeiros Passos em Automação de TestesStefan Teixeira

Webinar Segurança de DevOpsTenchi Security

TDC 2016 Floripa - Criando APIs REST em minutos com Spark + Java 8Stefan Teixeira

TDC2016POA | Trilha .NET - .NET Entity Core 1.0tdc-globalcode

Como melhoramos a performance dos testes automatizados com py.test e factoryboyLeonardo Galani

Anúncio

Semelhante a IC-Testes Invasao (20)

PPTX

ASP.NET vNext no .NET Architects Days 2014Giovanni Bassi

PDF

Gerando aplicações Spring Boot e AngularJS com gerador de código JHipsterEdlaine Zamora

PPT

Introdução a Application Life-cycle Management Open SourceGlobalcode

PDF

Cross testing mobile com ruby, cucumber e appiumMaximiliano Alves

PDF

Internet das coisas - A revolução já começouJose Wilker

PPTX

Introdução ao NodeJSGiovanni Bassi

PDF

Migração de Banco de Dados - Oracle para MongoDB - TDC2014Jonathan Prates

PDF

Introducao Spring ROOEder Magalhães

PDF

Metralhando sua APIThalita Pinheiro

PDF

TDC Floripa 2018 - Metralhando sua APIEdlaine Zamora

PDF

A Revolução já começouJose Wilker

PDF

Internet das coisas - A Revolução já começouJose Wilker

PPT

TDC2018SP | Trilha Testes II - Descomplicando a montagem de ambientes de Test...tdc-globalcode

PPT

Descomplicando a montagem de ambientes de Testes com Docker - TDC 2018 - São ...Renato Groff

PPTX

A trilogia Spring MVC + Spring Data + AngularJSEmmanuel Neri

PPTX

TDC2017 | Florianopolis - Trilha DevOps How we figured out we had a SRE team ...tdc-globalcode

PDF

Do regresso ao progresso: automação de testes em aplicativos mobileLucas Carvalho

PPTX

Microprofile - Facilitando o desenvolvimento de MicroserviçosIvan Junckes Filho

PDF

Open4Education | MC122 - Introdução a ALM OpenSourcetdc-globalcode

PDF

JavaEE 7, na era do cloud computingEder Magalhães

ASP.NET vNext no .NET Architects Days 2014Giovanni Bassi

Gerando aplicações Spring Boot e AngularJS com gerador de código JHipsterEdlaine Zamora

Introdução a Application Life-cycle Management Open SourceGlobalcode

Cross testing mobile com ruby, cucumber e appiumMaximiliano Alves

Internet das coisas - A revolução já começouJose Wilker

Introdução ao NodeJSGiovanni Bassi

Migração de Banco de Dados - Oracle para MongoDB - TDC2014Jonathan Prates

Introducao Spring ROOEder Magalhães

Metralhando sua APIThalita Pinheiro

TDC Floripa 2018 - Metralhando sua APIEdlaine Zamora

A Revolução já começouJose Wilker

Internet das coisas - A Revolução já começouJose Wilker

TDC2018SP | Trilha Testes II - Descomplicando a montagem de ambientes de Test...tdc-globalcode

Descomplicando a montagem de ambientes de Testes com Docker - TDC 2018 - São ...Renato Groff

A trilogia Spring MVC + Spring Data + AngularJSEmmanuel Neri

TDC2017 | Florianopolis - Trilha DevOps How we figured out we had a SRE team ...tdc-globalcode

Do regresso ao progresso: automação de testes em aplicativos mobileLucas Carvalho

Microprofile - Facilitando o desenvolvimento de MicroserviçosIvan Junckes Filho

Open4Education | MC122 - Introdução a ALM OpenSourcetdc-globalcode

JavaEE 7, na era do cloud computingEder Magalhães

Anúncio

Mais de Denny Vriesman (6)

PDF

Tomada de Decisão em GrupoDenny Vriesman

PPTX

Web HackingDenny Vriesman

PPTX

Service meshDenny Vriesman

PDF

Kubernetes - Parte IDenny Vriesman

PDF

Antifrigile Software DevelopmentDenny Vriesman

PPT

Openstack Foundations - TDC Floripa 2014Denny Vriesman

Tomada de Decisão em GrupoDenny Vriesman

Web HackingDenny Vriesman

Service meshDenny Vriesman

Kubernetes - Parte IDenny Vriesman

Antifrigile Software DevelopmentDenny Vriesman

Openstack Foundations - TDC Floripa 2014Denny Vriesman

IC-Testes Invasao

1. Globalcode – Open4education Integração Continua com Testes de Invasão Denny Richard San Vriesman DevOps Engineer

2. Globalcode – Open4education Sobre mim Denny Richard San Vriesman 9+ anos na -OCAJP, OCPPJ -Java Developer, Software Architect, -Devops and Cloud Engineer -O mais legal: programou em BASIC num Apple II, num MSX e num TK2000 em 1989. Let’s go

3. Globalcode – Open4education Agenda Segurança em foco Abraçando a segurança Kit básico de ferramentas Consolidando resultados Conclusões

4. Globalcode – Open4education Segurança em foco

5. Globalcode – Open4education Algumas inseguranças

6. Globalcode – Open4education Algumas inseguranças

7. Globalcode – Open4education Algumas inseguranças

8. Globalcode – Open4education Abraçando a segurança

9. Globalcode – Open4education DevOps – CI / CD

10. Globalcode – Open4education Pentest 1. Coletar Informações 2. Mapeamento de Rede 3. Enumeração de Serviços 4. Busca de Vulnerabilidade 5. Exploração das Vulnerabilidade 6. Implantação de Backdoors e Rootkits 7. Eliminação de Vestígios

11. Globalcode – Open4education Abraçando a segurança Sec + DevOps =

12. Globalcode – Open4education SecDevOps • Melhores práticas que ajudam as organizações a implantar código seguro • Automatização de testes de invasão (pentests) • Herda conceitos essenciais DevOps: • Falhar o quanto antes • Reparar rapidamente • https://www.reddit.com/r/secdevops/

13. Globalcode – Open4education SecDevOps Avaliação de Risco UX Security Capacitação, Peer Code Review CI com Testes de Invasão Monitoração , Logs, Respostas a Incidentes SecDevOps

14. Globalcode – Open4education Alguns tipos de testes Testes de Segurança Funcionais Scan da Aplicação e Infra-estrutura Testes de Segurança da lógica da aplicação Autenticação Autorização Consigo interceptar uma requisição, diminuindo o valor de uma compra? Vulnerabilidades identificadas por ferramentas de Scan Consigo fazer uma transferências para uma conta com valor negativo?

15. Globalcode – Open4education Kit Básico de Ferramentas

16. Globalcode – Open4education Zed Attack Proxy • OWASP Top 10 • Pode rodar como Daemon • REST-API • CLI • Pode ser scriptado

17. Globalcode – Open4education ZAP + Jenkins • Permite fazermos um scan. • Simples: Aponte para a URL a ser testada. • Gera relatórios no JOB em HTML e/ou XML. • Recomenda-se o uso no Build Noturno. • Cada JOB deve ser configurado com um porta Proxy diferente para habilitar a execução paralela.

18. Globalcode – Open4education ZAProxy Jenkins Plugin

19. Globalcode – Open4education ZAProxy Jenkins Plugin

20. Globalcode – Open4education ZAProxy Jenkins Plugin

21. Globalcode – Open4education Relatório ZAP

22. Globalcode – Open4education Relatório ZAP

23. Globalcode – Open4education Web App Security Scanner • Ideal para aplicações com muitos JavaScripts, SPA • Entende DOM, Jquery e Angular. • Scan Passivo/Ativo • Relatórios em XML / HTML / JSON

24. Globalcode – Open4education Arachni + Jenkins • CLI ou RPC ou REST • Copiar relatórios no Workspace do Job • Build Noturno

25. Globalcode – Open4education Arachni command line

26. Globalcode – Open4education Relatório Arachni

27. Globalcode – Open4education Relatório Arachni

28. Globalcode – Open4education • Framework para testes não-funcionais e funcionais de segurança • Usa Jbehave e Selenium para as estórias e fluxo de navegação • Usa ZAP como Scanner Default (pode usar outros). • Scan de Infraestrutura com Nessus. • Testes de WebServices • Suporte a autenticação com Tokens. • Conjunto de estórias pré-definidas

29. Globalcode – Open4education Exemplo Estória

30. Globalcode – Open4education Kit Básico de Ferramentas • Execução de um projeto Maven • Jbehave Plugin • Jenkins HTML Publisher + Jenkins

31. Globalcode – Open4education Jenkins Test Result

32. Globalcode – Open4education Jenkins HTML Publish

33. Globalcode – Open4education Outras Ferramentas

34. Globalcode – Open4education Consolidando resultados

35. Globalcode – Open4education Consolidando resultados Cada ferramenta gera seus relatórios em formatos proprietários Como eliminar resultados repetidos entre as diversas ferramentas ? Como realizar análises e identificar tendências?

36. Globalcode – Open4education Mais uma ferramenta

37. Globalcode – Open4education • Consolidação e análise de dados, inclusive tendência. • Open Source Community vs Enterprise • Normaliza resultado de várias ferramentas: • IBM AppScan • ZAP Proxy • Arachni • HPE Security WebSpec • Accunetix • FindBugs • W3af • Etc.... (várias outras)

38. Globalcode – Open4education + Jenkins • CLI ou REST API • Possui plugin para o Jenkins

39. Globalcode – Open4education Jenkins Config

40. Globalcode – Open4education ThreadFix Dashboard

41. Globalcode – Open4education Conclusões SecDevOps Automação DevOps já está em nosso dia-a-dia. SecDevOps é o próximo passo! Já existem várias ferramentas pentesters que podem ser facilmente integradas aos builds, através de plugins. Qualquer ferramentas pode ser chamada via linha de comando nos builds. Devemos normalizar os dados para análise. Vamos deixar esse Lammer mostrar que é hacker de verdade. The end

42. Globalcode – Open4education OBRIGADO Denny Richard San Vriesman [email protected] https://br.linkedin.com/in/dvriesman

Notas do Editor

#4: Por que esse papo ? Como os DevOps devem abraçar a segurança.
#6: Verme, warm, sequestro de dados, recompensa, bitcoin
#7: 220 milhoes de habitantes tem o Brasil.
#8: Sony vazou, dados de funcionários, folha de pagamento, Fury, protagonizado por Brad Pitt; foi baixado mais de 1 milhão de vezes em 3 dias Como vingança contra o longa-metragem, que faz piada com o regime da Coreia do Norte = A Entrevista.
#9: Perguntar se alguém viu as palestras do Branas Web Security de ontem.
#11: CEH, Offensive Security, Hacker Academy,
#16: Uns 15 a 20 min até aqui.
#34: Metasploit resource, payload, exploits, JBOSS Modules, Tomcat modules, windows, linux vulnerabilities, app specific.
#35: Chegando aqui entre 35 e 40.