Главная > Uncategorized > Выступление на РусКрипто’2011: Benchmark сканеров SQLi

Выступление на РусКрипто’2011: Benchmark сканеров SQLi

Состоялся мой доклад на конференции РусКрипто’2011 на тему «Сравнение эффективности средств обнаружения уязвимостеи SQL injection». Выкладываю презентацию выступления.

Скачать pdf презентации можно отсюда.

p.s. Подробный отчет о конференции и описание нашего задания для РусКрипто CTF выложу позднее.
p.p.s. Большое спасибо Кариму Валиеву за помощь в подготовке материалов.

Реклама
  1. ngo
    04.04.2011 в 09:30

    1) А где же мякотка сама? Где чиселки?
    2) По каким критериям выбирались сканнеры?
    3) С какими настройками были прогоны?
    4) Как производители проприетарных сканнеров относятся к факту бенчмаркинга их продуктов? Насколько это согласуется с лицензией ?

  2. 04.04.2011 в 21:37

    ngo :

    1) А где же мякотка сама? Где чиселки?
    2) По каким критериям выбирались сканнеры?
    3) С какими настройками были прогоны?
    4) Как производители проприетарных сканнеров относятся к факту бенчмаркинга их продуктов? Насколько это согласуется с лицензией ?

    Нетрудно ответить!
    1. Чиселки вставлять в презентацию не счел нужным — к ним нужно дать тонну комментариев. Ну, к пример, есть две группы тестов: X и Y, в которых соот-но 500 и 1000 экземпляров. Сканер №1 находит (400, 200), а второй — (0, 600). Overall score одинаковый, а вот интерпретация совершенно разная. В презентации я дал чистую выжимку. Когда будем публиковать общий отчет в виде pdf — там, конечно, все будет. Плюс, могу выслать на почту по требованию.

    2. Коммерческие — по доступности лицензионнной версии у знакомых. Открытые — по активности проекта (как часто commit’ы, новые версии и т.п.). Мы, на мой взгляд, взяли самые активные. Мы всегда готовы добавить что-то, что мы пропустили.

    3. Мы не оценивали возможности сканера по решению задач, связанных с навигацией. Поэтому, каждый сканер запускался на одну конкретную страницу, которая позволяла отправить один параметр на сервер. Если сканеры поддерживали настройку «comprehensiveness» (как много векторов пробовать), мы всегда ставили максимум. Ты же про это спрашиваешь?

    4. Ларри Суто вон делал и ему ничего не было. Но честно скажу, лицензии Acunetix’а не изучал, просто попросил просканировать заданный хост.

  3. 05.04.2011 в 21:37

    «1. Чиселки вставлять в презентацию не счел нужным – к ним нужно дать тонну комментариев»

    презентации это и есть чиселки и графики с комментариями докладчика. У вас очень много текста на каждом слайде постарайтесь умещать на слайдах только ключевые моменты, а Коментарии давать речью, пусть будет немного больше слайдов но качественнее, возможно с графиками и ассоциативными картинками. очень правильная практика на BlackHat там презентация — это презентация (порой вообще мало о чём говорящая без текста) а к ней идут параллельно Whitepaper который содержит весь текст, технические выкладки, коды и прочее.

    В таких слайдах слушатель будет постоянно отвлекаться от вашего повествование на чтение, если вообще сможет чтолибо прочесть, учитывая то как у нас настраивают пректоры.)

    • 05.04.2011 в 22:08

      Это все очень правильные вещи. Однако бывают ситуации, когда приходится учитывать специфику и отступать от best practices. Опишу мою мотивацию.

      1. Почему нет циферок и графиков.
      Как следует из описания методики, в тестовом наборе выделяется огромное количество классов тестовых сценариев, схожих по некоторому признаку (например, по зависимости ответа от входных данных или по типу применяемой фильтрации). Перечислять их все во время презентации — не хватит времени (15 минут у нас в отличие от 30 минут на том же Blackhat). Суммировать количество пройденных тестов и делить на общее количество — bullshit. Кроме того, описание каждой группы предполагает такие технические подробности, что это можно было бы сделать на BlackHat, но не на РусКрипто. Именно поэтому в презентации дается сразу интерпретация.

      2. Почему на слайдах так «много букав». Тут надо понять — какую задачу мы решаем? Сделать хорошо слушателям во время выступления, сделать хорошо людям, которые не смогли посетить выступление, или и тем и тем? Я хотел, чтобы презентация осталась самостоятельной единицей, которую можно было бы смотреть и без моих комментариев. Выступление я специально построил таким образом, чтобы слушателям не надо было вглядываться в текст — там же нету цифирек (судя по отзывам — получилось).

      3. Whitepaper. Я был бы очень рад, если бы у РусКрипто был именно такой формат. Был бы стимул подготовить Whitepaper к выступлению. Такого стимула не было, поэтому я просто поленился :)
      В любой случае, большой итоговый отчет в pdf запланирован и будет опубликован после проведения всех тестовых запусков.

      p.s. Спасибо за комментарий!

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: