尊敬的 微信汇率:1円 ≈ 0.046078 元 支付宝汇率:1円 ≈ 0.046168元 [退出登录]
SlideShare a Scribd company logo

Web app first scan

Download as PPTX, PDF
Alex Vetrov
Alex Vetrov

#Qualys #QualysGuard #BettaSecurity

Software
1 of 17
We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. Сканирование WEB–приложений Александр Ветров Инженер информационной безопасности
We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. В данной статье я расскажу о том, как запустить сканирование web приложения В первую очередь создадим Option Profile. C его помощью можно настроит параметры сканирования.
В разделе Profile Details указываем имя создаваемого профайла. Для удобства можно использовать тэги. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success.
We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. В разделе Scan Parameters выбираем метод отправки формы, количество запросов, интенсивность сканирования. Существует возможность использовать парольный брутфорс. Предлагается несколько предустановленных вариантов и возможность использования своего словаря. Далее останавливаем запись скрипта и сохраняем его. В результате должен быть файл HTML
We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. В разделе Search Criteria устанавливаем глубину поиска уязвимостей. Предлагается два варианта: Complete – поиск всех известных уязвимостей Custom – поиск только определенных уязвимостей.
We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. Во вкладке Comments можно добавить коментарий
We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. В последнем разделе проверяем все настройки и сохраняем
We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. Теперь создадим web приложение. Для этого переходим на вкладку Web Applications и жмем кнопку New Webb Application В открывшемся окне выбираем Blank
We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. Далее задаем имя приложения и адрес, по которому расположено приложение
We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. В разделе Application Details можно указать глубину сканирования. Это может быть ограничение в рамках домена так и сканирование поддоменов
We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. Раздел Scan Settings предлагает выбрать Option Profile. Используем тот, который создали в начале статьи. В пункте Scanner Appliance выбираем сканер, который хотим использовать. Здесь можно выбрать облачный (который предоставляет Qualys) и внутренний, который расположен в локальной сети
В разделе Crawl Settings можно добавить Selenium Script. Данный параметр не обязателен. Раздел Authentication позволяет нам использовать учетную запись для аутентификации в приложении.
Раздел Crawl Exclusion Lists позволяет настроит «белые» и «чёрные» списки адресов для сканирования. Существует возможность использовать регулярные выражения
Раздел Malware Monitoring позволяет настроить мониторинг вредоносного содержимого в приложении
Далее указываем комментарий к приложению и сохраняем. С этого окна можно сразу запустить сканирование приложения.
Выбираем Option Profile, указываем сканер, который хотим использовать и запускаем сканирование
В результате сканирования получаем все данные и уязвимости, которые Qualys смог найти в приложении Продолжение следует…

Recommended

Сканирование WEB-приложений с аутентификацией
Сканирование WEB-приложений с аутентификациейСканирование WEB-приложений с аутентификацией
Сканирование WEB-приложений с аутентификацией
Betta Security
 
Коновалов Сергей
Коновалов СергейКоновалов Сергей
Коновалов Сергей
Alisa Vasilkova
 
StarForce ProActive (Рус)
StarForce ProActive (Рус)StarForce ProActive (Рус)
StarForce ProActive (Рус)
StarForce Technologies
 
Pecha Kucha Rene
Pecha Kucha RenePecha Kucha Rene
Pecha Kucha Rene
guestcbb062
 
Piscina
PiscinaPiscina
Piscina
Crisanto Roman
 
ORMs Meet SQL
ORMs Meet SQLORMs Meet SQL
ORMs Meet SQL
Ricardo Peres
 
Presentation On Edf 2005
Presentation On Edf 2005Presentation On Edf 2005
Presentation On Edf 2005
stewart2008sem3
 
Elasticsearch
ElasticsearchElasticsearch
Elasticsearch
Ricardo Peres
 

Recommended

Сканирование WEB-приложений с аутентификацией
Сканирование WEB-приложений с аутентификациейСканирование WEB-приложений с аутентификацией
Сканирование WEB-приложений с аутентификацией
Betta Security
 
Коновалов Сергей
Коновалов СергейКоновалов Сергей
Коновалов Сергей
Alisa Vasilkova
 
StarForce ProActive (Рус)
StarForce ProActive (Рус)StarForce ProActive (Рус)
StarForce ProActive (Рус)
StarForce Technologies
 
Pecha Kucha Rene
Pecha Kucha RenePecha Kucha Rene
Pecha Kucha Rene
guestcbb062
 
Piscina
PiscinaPiscina
Piscina
Crisanto Roman
 
ORMs Meet SQL
ORMs Meet SQLORMs Meet SQL
ORMs Meet SQL
Ricardo Peres
 
Presentation On Edf 2005
Presentation On Edf 2005Presentation On Edf 2005
Presentation On Edf 2005
stewart2008sem3
 
Elasticsearch
ElasticsearchElasticsearch
Elasticsearch
Ricardo Peres
 
Sma female to reverse polarity sma male adapter
Sma female to reverse polarity sma male adapterSma female to reverse polarity sma male adapter
Sma female to reverse polarity sma male adapter
Chetan Shah
 
Sma tee adapter female female female
Sma tee adapter female female femaleSma tee adapter female female female
Sma tee adapter female female female
Chetan Shah
 
GLIIFCA 22 final (1)
GLIIFCA 22 final (1)GLIIFCA 22 final (1)
GLIIFCA 22 final (1)
Amanda Chargin
 
Avisos
AvisosAvisos
Avisos
Bas Araya Fontánez
 
Presentación1
Presentación1Presentación1
Presentación1
alumne3ESO
 
Bomba Jacuzzi Série F-G
Bomba Jacuzzi Série F-GBomba Jacuzzi Série F-G
Bomba Jacuzzi Série F-G
Comarx Equipamentos e Serviços
 
Enrique rojas-el-hombre-light
Enrique rojas-el-hombre-lightEnrique rojas-el-hombre-light
Enrique rojas-el-hombre-light
Carolina Diaz
 
Building Enterprise Search Engines using Open Source Technologies
Building Enterprise Search Engines using Open Source TechnologiesBuilding Enterprise Search Engines using Open Source Technologies
Building Enterprise Search Engines using Open Source Technologies
Anant Corporation
 
Log Analytics with Amazon Elasticsearch Service - September Webinar Series
Log Analytics with Amazon Elasticsearch Service - September Webinar SeriesLog Analytics with Amazon Elasticsearch Service - September Webinar Series
Log Analytics with Amazon Elasticsearch Service - September Webinar Series
Amazon Web Services
 
KOOS-BMECTE
KOOS-BMECTEKOOS-BMECTE
KOOS-BMECTEArturFass
 
A Retrospective Study to Investigate Association among Age, BMI and BMD in th...
A Retrospective Study to Investigate Association among Age, BMI and BMD in th...A Retrospective Study to Investigate Association among Age, BMI and BMD in th...
A Retrospective Study to Investigate Association among Age, BMI and BMD in th...
IOSR Journals
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
KAV/KIS 2014 Список новых функций
KAV/KIS 2014 Список новых функцийKAV/KIS 2014 Список новых функций
KAV/KIS 2014 Список новых функций
СОФТКОМ
 
StarForce ProActive for Business Rus
StarForce ProActive for Business RusStarForce ProActive for Business Rus
StarForce ProActive for Business Rus
StarForce Technologies
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
MrCoffee94
 
Ключевые компетенции компании Т.Т.Консалтинг. Наши предложения и возможности
Ключевые компетенции компании Т.Т.Консалтинг. Наши предложения и возможностиКлючевые компетенции компании Т.Т.Консалтинг. Наши предложения и возможности
Ключевые компетенции компании Т.Т.Консалтинг. Наши предложения и возможности
Т.Т.Консалтинг
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspector
qqlan
 
Построение процесса обеспечения безопасности в студии и агенстве
Построение процесса обеспечения безопасности в студии и агенствеПостроение процесса обеспечения безопасности в студии и агенстве
Построение процесса обеспечения безопасности в студии и агенстве
SiteSecure
 
Intervale studio design presentation
Intervale studio design presentationIntervale studio design presentation
Intervale studio design presentation
Дмитрий Рыбалкин
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Dmitry Tikhovich
 
презентация BitCalm
презентация BitCalmпрезентация BitCalm
презентация BitCalmEvgeny Morozov
 

More Related Content

Viewers also liked

Sma female to reverse polarity sma male adapter
Sma female to reverse polarity sma male adapterSma female to reverse polarity sma male adapter
Sma female to reverse polarity sma male adapter
Chetan Shah
 
Sma tee adapter female female female
Sma tee adapter female female femaleSma tee adapter female female female
Sma tee adapter female female female
Chetan Shah
 
GLIIFCA 22 final (1)
GLIIFCA 22 final (1)GLIIFCA 22 final (1)
GLIIFCA 22 final (1)
Amanda Chargin
 
Avisos
AvisosAvisos
Avisos
Bas Araya Fontánez
 
Presentación1
Presentación1Presentación1
Presentación1
alumne3ESO
 
Bomba Jacuzzi Série F-G
Bomba Jacuzzi Série F-GBomba Jacuzzi Série F-G
Bomba Jacuzzi Série F-G
Comarx Equipamentos e Serviços
 
Enrique rojas-el-hombre-light
Enrique rojas-el-hombre-lightEnrique rojas-el-hombre-light
Enrique rojas-el-hombre-light
Carolina Diaz
 
Building Enterprise Search Engines using Open Source Technologies
Building Enterprise Search Engines using Open Source TechnologiesBuilding Enterprise Search Engines using Open Source Technologies
Building Enterprise Search Engines using Open Source Technologies
Anant Corporation
 
Log Analytics with Amazon Elasticsearch Service - September Webinar Series
Log Analytics with Amazon Elasticsearch Service - September Webinar SeriesLog Analytics with Amazon Elasticsearch Service - September Webinar Series
Log Analytics with Amazon Elasticsearch Service - September Webinar Series
Amazon Web Services
 
A Retrospective Study to Investigate Association among Age, BMI and BMD in th...
A Retrospective Study to Investigate Association among Age, BMI and BMD in th...A Retrospective Study to Investigate Association among Age, BMI and BMD in th...
A Retrospective Study to Investigate Association among Age, BMI and BMD in th...
IOSR Journals
 

Viewers also liked (11)

Sma female to reverse polarity sma male adapter
Sma female to reverse polarity sma male adapterSma female to reverse polarity sma male adapter
Sma female to reverse polarity sma male adapter
 
Sma tee adapter female female female
Sma tee adapter female female femaleSma tee adapter female female female
Sma tee adapter female female female
 
GLIIFCA 22 final (1)
GLIIFCA 22 final (1)GLIIFCA 22 final (1)
GLIIFCA 22 final (1)
 
Avisos
AvisosAvisos
Avisos
 
Presentación1
Presentación1Presentación1
Presentación1
 
Bomba Jacuzzi Série F-G
Bomba Jacuzzi Série F-GBomba Jacuzzi Série F-G
Bomba Jacuzzi Série F-G
 
Enrique rojas-el-hombre-light
Enrique rojas-el-hombre-lightEnrique rojas-el-hombre-light
Enrique rojas-el-hombre-light
 
Building Enterprise Search Engines using Open Source Technologies
Building Enterprise Search Engines using Open Source TechnologiesBuilding Enterprise Search Engines using Open Source Technologies
Building Enterprise Search Engines using Open Source Technologies
 
Log Analytics with Amazon Elasticsearch Service - September Webinar Series
Log Analytics with Amazon Elasticsearch Service - September Webinar SeriesLog Analytics with Amazon Elasticsearch Service - September Webinar Series
Log Analytics with Amazon Elasticsearch Service - September Webinar Series
 
KOOS-BMECTE
KOOS-BMECTEKOOS-BMECTE
KOOS-BMECTE
 
A Retrospective Study to Investigate Association among Age, BMI and BMD in th...
A Retrospective Study to Investigate Association among Age, BMI and BMD in th...A Retrospective Study to Investigate Association among Age, BMI and BMD in th...
A Retrospective Study to Investigate Association among Age, BMI and BMD in th...
 

Similar to Web app first scan

DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
KAV/KIS 2014 Список новых функций
KAV/KIS 2014 Список новых функцийKAV/KIS 2014 Список новых функций
KAV/KIS 2014 Список новых функций
СОФТКОМ
 
StarForce ProActive for Business Rus
StarForce ProActive for Business RusStarForce ProActive for Business Rus
StarForce ProActive for Business Rus
StarForce Technologies
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
MrCoffee94
 
Ключевые компетенции компании Т.Т.Консалтинг. Наши предложения и возможности
Ключевые компетенции компании Т.Т.Консалтинг. Наши предложения и возможностиКлючевые компетенции компании Т.Т.Консалтинг. Наши предложения и возможности
Ключевые компетенции компании Т.Т.Консалтинг. Наши предложения и возможности
Т.Т.Консалтинг
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspector
qqlan
 
Построение процесса обеспечения безопасности в студии и агенстве
Построение процесса обеспечения безопасности в студии и агенствеПостроение процесса обеспечения безопасности в студии и агенстве
Построение процесса обеспечения безопасности в студии и агенстве
SiteSecure
 
Intervale studio design presentation
Intervale studio design presentationIntervale studio design presentation
Intervale studio design presentation
Дмитрий Рыбалкин
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Dmitry Tikhovich
 
презентация BitCalm
презентация BitCalmпрезентация BitCalm
презентация BitCalmEvgeny Morozov
 
Презентация компании Awesome&Awesome
Презентация компании Awesome&AwesomeПрезентация компании Awesome&Awesome
Презентация компании Awesome&Awesome
Kechutkin Sergey
 
Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018
malvvv
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковMedia Gorod
 
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
 
Современные технологии сайтостроения для решения бизнес-задач
Современные технологии сайтостроения для решения бизнес-задач Современные технологии сайтостроения для решения бизнес-задач
Современные технологии сайтостроения для решения бизнес-задач
simai
 
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
Denis Bezkorovayny
 
Губкин Александр
Губкин АлександрГубкин Александр
Губкин Александр
Александ Губкин
 
Secure development
Secure developmentSecure development
Secure development
Ihor Uzhvenko
 

Similar to Web app first scan (20)

DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
KAV/KIS 2014 Список новых функций
KAV/KIS 2014 Список новых функцийKAV/KIS 2014 Список новых функций
KAV/KIS 2014 Список новых функций
 
StarForce ProActive for Business Rus
StarForce ProActive for Business RusStarForce ProActive for Business Rus
StarForce ProActive for Business Rus
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
 
Ключевые компетенции компании Т.Т.Консалтинг. Наши предложения и возможности
Ключевые компетенции компании Т.Т.Консалтинг. Наши предложения и возможностиКлючевые компетенции компании Т.Т.Консалтинг. Наши предложения и возможности
Ключевые компетенции компании Т.Т.Консалтинг. Наши предложения и возможности
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspector
 
Построение процесса обеспечения безопасности в студии и агенстве
Построение процесса обеспечения безопасности в студии и агенствеПостроение процесса обеспечения безопасности в студии и агенстве
Построение процесса обеспечения безопасности в студии и агенстве
 
Intervale studio design presentation
Intervale studio design presentationIntervale studio design presentation
Intervale studio design presentation
 
безопасность
безопасностьбезопасность
безопасность
 
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
 
презентация BitCalm
презентация BitCalmпрезентация BitCalm
презентация BitCalm
 
Презентация компании Awesome&Awesome
Презентация компании Awesome&AwesomeПрезентация компании Awesome&Awesome
Презентация компании Awesome&Awesome
 
Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
 
Безопасность
БезопасностьБезопасность
Безопасность
 
Современные технологии сайтостроения для решения бизнес-задач
Современные технологии сайтостроения для решения бизнес-задач Современные технологии сайтостроения для решения бизнес-задач
Современные технологии сайтостроения для решения бизнес-задач
 
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
 
Губкин Александр
Губкин АлександрГубкин Александр
Губкин Александр
 
Evgeniy gulak sherif
Evgeniy gulak sherifEvgeniy gulak sherif
Evgeniy gulak sherif
 
Secure development
Secure developmentSecure development
Secure development
 

Web app first scan

  • 1. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. Сканирование WEB–приложений Александр Ветров Инженер информационной безопасности
  • 2. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. В данной статье я расскажу о том, как запустить сканирование web приложения В первую очередь создадим Option Profile. C его помощью можно настроит параметры сканирования.
  • 3. В разделе Profile Details указываем имя создаваемого профайла. Для удобства можно использовать тэги. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success.
  • 4. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. В разделе Scan Parameters выбираем метод отправки формы, количество запросов, интенсивность сканирования. Существует возможность использовать парольный брутфорс. Предлагается несколько предустановленных вариантов и возможность использования своего словаря. Далее останавливаем запись скрипта и сохраняем его. В результате должен быть файл HTML
  • 5. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. В разделе Search Criteria устанавливаем глубину поиска уязвимостей. Предлагается два варианта: Complete – поиск всех известных уязвимостей Custom – поиск только определенных уязвимостей.
  • 6. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. Во вкладке Comments можно добавить коментарий
  • 7. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. В последнем разделе проверяем все настройки и сохраняем
  • 8. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. Теперь создадим web приложение. Для этого переходим на вкладку Web Applications и жмем кнопку New Webb Application В открывшемся окне выбираем Blank
  • 9. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. Далее задаем имя приложения и адрес, по которому расположено приложение
  • 10. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. В разделе Application Details можно указать глубину сканирования. Это может быть ограничение в рамках домена так и сканирование поддоменов
  • 11. We believe that constant professionalism level growth helps to minimize the threats to your company's information security thus ensuring your success. Раздел Scan Settings предлагает выбрать Option Profile. Используем тот, который создали в начале статьи. В пункте Scanner Appliance выбираем сканер, который хотим использовать. Здесь можно выбрать облачный (который предоставляет Qualys) и внутренний, который расположен в локальной сети
  • 12. В разделе Crawl Settings можно добавить Selenium Script. Данный параметр не обязателен. Раздел Authentication позволяет нам использовать учетную запись для аутентификации в приложении.
  • 13. Раздел Crawl Exclusion Lists позволяет настроит «белые» и «чёрные» списки адресов для сканирования. Существует возможность использовать регулярные выражения
  • 14. Раздел Malware Monitoring позволяет настроить мониторинг вредоносного содержимого в приложении
  • 15. Далее указываем комментарий к приложению и сохраняем. С этого окна можно сразу запустить сканирование приложения.
  • 16. Выбираем Option Profile, указываем сканер, который хотим использовать и запускаем сканирование
  • 17. В результате сканирования получаем все данные и уязвимости, которые Qualys смог найти в приложении Продолжение следует…
  翻译: