Anton Shapin, profile picture
Uploaded byAnton Shapin
ODP, PPTX4,547 views

Security zap and selenium

Доклад Антона Шапина посвящен автоматическому тестированию безопасности с использованием инструментов ZAP и Selenium. Он объясняет возможности ZAP, таких как перехват трафика и автоматическое сканирование, а также подчеркивает плюсы интеграции с автоматизированными системами тестирования. Важно отметить, что, несмотря на высокую эффективность ZAP, он не гарантирует полную защиту от взломов.

Download as ODP, PPTX
Автоматическое тестирование безопасности ZAP и Selenium Шапин Антон @kirlionik
Немного мании величия Шапин Антон • Руководитель отдела тестирования am.ru • В IT более семи лет. • Занимаюсь различными видами тестирования(от ручного до автоматизированного) Site: http://qaengineer.ru E-mail: shapin.anton@gmail.com
Чего НЕ будет в докладе • Раскрытие "чёрной магии" взлома сайтов • Сравнения инструментов по тестированию безопасности
О чём пойдет речь • Что такое ZAP с демонстрацией • Интеграция ZAP и Selenium Web Driver • Внедрение автоматического тестирования безопасности в существующую систему автотестов
Предупреждение • Я не специалист по security тестированию • Я за качество продукта!
Начнём!
Zed Attack Proxy (ZAP) • Простой инструмент для проведения pentest'а web-порталов • Полностью бесплатное c открытым исходным кодом • Идеально для внедрения в систему автоматического тестирования безопасности • Идеальный инструмент для новичков, который используют и профессионалы
На что способен ZAP • Intercepting Proxy • Automated scanner • Passive scanner • Brute Force scanner • Spider
На что способен ZAP • Fuzzer • Smartcard and Client Digital Certificates support • Port scanner • Dynamic SSL certificates • API • Beanshell integration
Ручное использование ZAP Web browser QA Expert ZAP Web Application
Ручное использование
Зачем нам Selenium? • Автоматические Security Regress Tests • Не обязательны глубокие знания "Чёрной магии" • Интеграция тестирования безопасности с continuous integration • Возможность проверки только необходимых модулей, а не всей системы
Build Tool + Selenium + ZAP = Profit! Web browser Build tool Web Driver Web ZAP Application
Build Tool + Selenium + ZAP
Плюсы использования • Позволяет быстро убрать с портала грубые ошибки безопасности (на халяву!) • Контроль качества безопасности кода при каждом билде
Плюсы использования • Проверка только отдельных модулей на уязвимости, а не всего портала • Легкая интеграция с уже имеющейся системой автотестов • Кросс-платформенность
Предостережения • ZAP не даёт гарантии, что ваш портал не взломают • ZAP написан на Java, как следствие любит кушать (иногда жрать) память
Полезные ссылки • Домашняя страница ZAP https://www.owasp.org/index.php/ZAP • Downloads, wiki, source code http://code.google.com/p/zaproxy/downloads/list • ZAP announcements @zaproxy
Спасибо за внимание!

More Related Content

PPTX
Тестирование доступности ПО для людей с ограниченными возможностями
bySQALab
 
PPTX
Безопасность сессий в веб-приложениях: практическое применение
bySQALab
 
PDF
очир абушинов
byAlexei Lupan
 
PPTX
Опыт организации тестирования безопасности Web приложений в компании
bySQALab
 
PPT
Анализ защищенности интернет-проектов
byDmitry Evteev
 
PDF
Эвристические методы защиты приложений
byPositive Hack Days
 
PPT
Fuzzing - автоматическое тестирование безопасности
bySQALab
 
PPTX
Sqa days2010 polazhenko_osstm
byAlexei Lupan
 
Тестирование доступности ПО для людей с ограниченными возможностями
bySQALab
 
Безопасность сессий в веб-приложениях: практическое применение
bySQALab
 
очир абушинов
byAlexei Lupan
 
Опыт организации тестирования безопасности Web приложений в компании
bySQALab
 
Анализ защищенности интернет-проектов
byDmitry Evteev
 
Эвристические методы защиты приложений
byPositive Hack Days
 
Fuzzing - автоматическое тестирование безопасности
bySQALab
 
Sqa days2010 polazhenko_osstm
byAlexei Lupan
 

What's hot

PPTX
Penetration testing
byTraining center "Echelon"
 
PPTX
Собираем команду хакеров
byDmitry Evteev
 
PPTX
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
bySQALab
 
PPTX
Анализ инструментов автоматизации мобильного тестирования
bySQALab
 
PPTX
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
PPTX
About Testers
byantsh
 
PPT
SQADAYS 21 Москва 2017
byAdam Sandman
 
PPTX
Svyatoslav Login
byDakiry
 
PPTX
Автоматизация построения правил для Approof
byPositive Hack Days
 
PPTX
Внедрение автоматизации тестирования на Сервисной Шине
bySQALab
 
PDF
Сергей Белов
byCodeFest
 
PDF
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
byCodeFest
 
PPT
Оценка защищенности Web-приложений
bySQALab
 
PPT
Sergey Gordeychik SQADays 2008
byguest5b66888
 
PPT
Ломаем (и строим) вместе
byDmitry Evteev
 
PPTX
Провокации автоматического тестирования
byIgor Lyubin
 
PPTX
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
bySQALab
 
PPTX
Пост-эксплуатация веб-приложений в тестах на проникновение
bybeched
 
PPTX
Использование комбинаторного тестирования для мобильных приложений
bySQALab
 
PPT
Security Metrics for PCI Compliance
byqqlan
 
Penetration testing
byTraining center "Echelon"
 
Собираем команду хакеров
byDmitry Evteev
 
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
bySQALab
 
Анализ инструментов автоматизации мобильного тестирования
bySQALab
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
About Testers
byantsh
 
SQADAYS 21 Москва 2017
byAdam Sandman
 
Svyatoslav Login
byDakiry
 
Автоматизация построения правил для Approof
byPositive Hack Days
 
Внедрение автоматизации тестирования на Сервисной Шине
bySQALab
 
Сергей Белов
byCodeFest
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
byCodeFest
 
Оценка защищенности Web-приложений
bySQALab
 
Sergey Gordeychik SQADays 2008
byguest5b66888
 
Ломаем (и строим) вместе
byDmitry Evteev
 
Провокации автоматического тестирования
byIgor Lyubin
 
Нагрузочное тестирование: Нестандартные методы анализа потока данных в прилож...
bySQALab
 
Пост-эксплуатация веб-приложений в тестах на проникновение
bybeched
 
Использование комбинаторного тестирования для мобильных приложений
bySQALab
 
Security Metrics for PCI Compliance
byqqlan
 

Security zap and selenium

  • 1.
  • 2.
    Немного мании величия ШапинАнтон • Руководитель отдела тестирования am.ru • В IT более семи лет. • Занимаюсь различными видами тестирования(от ручного до автоматизированного) Site: http://qaengineer.ru E-mail: shapin.anton@gmail.com
  • 3.
    Чего НЕ будетв докладе • Раскрытие "чёрной магии" взлома сайтов • Сравнения инструментов по тестированию безопасности
  • 4.
    О чём пойдетречь • Что такое ZAP с демонстрацией • Интеграция ZAP и Selenium Web Driver • Внедрение автоматического тестирования безопасности в существующую систему автотестов
  • 5.
    Предупреждение • Я не специалист по security тестированию • Я за качество продукта!
  • 6.
  • 8.
    Zed Attack Proxy(ZAP) • Простой инструмент для проведения pentest'а web-порталов • Полностью бесплатное c открытым исходным кодом • Идеально для внедрения в систему автоматического тестирования безопасности • Идеальный инструмент для новичков, который используют и профессионалы
  • 9.
    На что способенZAP • Intercepting Proxy • Automated scanner • Passive scanner • Brute Force scanner • Spider
  • 10.
    На что способенZAP • Fuzzer • Smartcard and Client Digital Certificates support • Port scanner • Dynamic SSL certificates • API • Beanshell integration
  • 11.
    Ручное использование ZAP Web browser QA Expert ZAP Web Application
  • 12.
  • 13.
    Зачем нам Selenium? • Автоматические Security Regress Tests • Не обязательны глубокие знания "Чёрной магии" • Интеграция тестирования безопасности с continuous integration • Возможность проверки только необходимых модулей, а не всей системы
  • 14.
    Build Tool +Selenium + ZAP = Profit! Web browser Build tool Web Driver Web ZAP Application
  • 15.
    Build Tool +Selenium + ZAP
  • 16.
    Плюсы использования • Позволяет быстро убрать с портала грубые ошибки безопасности (на халяву!) • Контроль качества безопасности кода при каждом билде
  • 17.
    Плюсы использования • Проверка только отдельных модулей на уязвимости, а не всего портала • Легкая интеграция с уже имеющейся системой автотестов • Кросс-платформенность
  • 18.
    Предостережения • ZAP не даёт гарантии, что ваш портал не взломают • ZAP написан на Java, как следствие любит кушать (иногда жрать) память
  • 19.
    Полезные ссылки • Домашняя страница ZAP https://www.owasp.org/index.php/ZAP • Downloads, wiki, source code http://code.google.com/p/zaproxy/downloads/list • ZAP announcements @zaproxy
  • 20.

Editor's Notes

  • #2 1. Есть ли люди, которые специализируются на тестировании безопасности? 2. Есть ли тут люди, которым это интересно, но не хватает знаний для этого? 3. Есть ли разработчики веб приложений? Насколько вы уверены в безопасности своего кода?
  • #3 Занимаюсь нарузочным, функциональным тестированием. am.ru — Одна из крупнейших баз объявлений по продаже автомобилей России, которая обновляется и дополняется ежедневно. Более двадцати тысяч новых предложений каждый день, один проданный автомобиль каждые три минуты
  • #4 Для многих людей взлом веб порталов ассоциируется с черной магией. Существует масса инструментов для проведения тестирования по безопасности. Есть платные монстры, бесплатные. Есть просто руки. В докладе я не буду приводить сравнения этих инструментов.
  • #5 Я покажу, что такое инструмент ZAP, как с его помощью можно будет найти уязвимости. Ну и самое главное, как его можно интегрировать с уже существующей базой автоматических тестов без глобальных изменений.
  • #8 Вот так выглядят люди, которые уверены, что их приложение легко взломать не получится, и при этом не проводят периодические при
  • #9 История с использованием ZAP в нашей фирме началась с момента появления необходимости проводить тестирование на безопасность. Основные требования к системе: 1. Система должна быть автоматической. 2. Легко внедряемая в систему существующую систему тестирования. 3. Желательно бесплатна.
  • #11 Fuzz тестирование или Fuzzing это black box тестирование программного обеспечения техникой, которая в основном состоит в нахождении ошибки реализации передачи не правильных или полу правильных данных в параметрах веб приложения.